Github Pages托管的Jekyll网站是否需要gemfile.lock文件?

时间:2019-05-22 16:16:45

标签: jekyll github-pages gemfile.lock xxe

最近,我进入Jekyll来构建文档站点并将其托管在Github Pages上。我了解Github Pages对于允许的插件明智的列表非常有限。在进行一些漏洞测试时,我发现文件 Gemfile.lock 容易受到XML外部实体(XXE)注入的攻击。

在我的研究中,我读到:

阅读以下人的可接受答案

  

假设您没有编写rubygem,则Gemfile.lock应该位于您的存储库中。它用作所有必需的gem及其依赖项的快照。这样,捆绑程序不必在每次部署等时都重新计算所有的gem依赖关系。

但是我无法控制Jekyll网站。如果我了解此过程,请纠正我,但Github Pages可以构建该网站,并且 Gemfile.lock 是用于开发Gems的,并且我无法控制的话,可以删除该文件并添加到 .gitignore

1 个答案:

答案 0 :(得分:0)

GitHub Pages不会寻找Gemfile.lock文件,也不会寻找Gemfile本身。 它只需要一个适当的配置文件即可加载gem /插件。