【发布时间】:2016-03-09 22:02:15
【问题描述】:
GitLab 文档在这里:https://gitlab.com/gitlab-org/gitlab-ce/blob/master/doc/web_hooks/web_hooks.md
我尝试了什么:
- request.hostname:主机名可以伪造?
- request.ip:但是我不知道gitlab的ip,以后可能会变
- 我在创建 webhook 时试图找到类似 github 的
Secret的东西,秘密可用于验证请求正文,但没有 - https:有帮助吗?
那么如何确保请求来自 GitLab?有什么好办法吗?
【问题讨论】:
-
不能只看源地址吗?
-
@agilob 你的意思是 ip 地址?据我所知,gitlab 并没有在他们的文档中告诉我他们的 ip 范围,而且他们的 ip 将来可能会改变,这看起来不是一个好习惯.
-
根据您的实施,您应该能够看到发送请求的 IP 和域。是的,HTTPS 确实有帮助,它与域相关联。
-
@agilob ,谢谢,但是很复杂,我会按照 MrTux 说的方法试试。