Github と Github Hooks で動作するアプリケーションを開発しました。新しいフック リクエストが受信されたら、update/cloneリポジトリにアクセスします (その後、リポジトリで少し処理を行います)。
私はすべてのフック要求をやみくもに受け入れるので、誰もがフック要求を生成して私に送信できます。
不要なフック要求からアプリケーションを保護する方法を知りたいですか?
1 に答える
1
Github には、ペイロードに秘密情報は含まれていません ( https://help.github.com/articles/post-receive-hooksに基づく)。
したがって、最善の防御策は、Web フックの URL にランダムな文字列を使用して、Web フックの URL を推測しにくくすることです。
request.connection.remoteAddressこれは時間の経過とともに壊れる可能性がありますが、Github ホスト (現時点では Rackspace?) に属することがわかっているアドレスの範囲内にあることを確認することも検討してください。この回答には、既知の IP アドレスが含まれています:受信後のフック要求が実際に github から送信されたことを確認する方法は?
于 2013-03-02T07:39:39.113 に答える