>用户文档主页

用户手册
教程
资源
⇑确保詹金斯必威国际有限公司
指数

标记格式器

必威国际有限公司Jenkins允许具有适当权限的用户输入各种对象的描述,如视图、工作、构建等。这些描述被过滤标记格式器.它们有两个目的:

  1. 允许用户对这些描述使用丰富的格式

  2. 保护其他用户免受跨站点脚本编制(XSS)攻击

配置标记格式化程序

可以在中配置标记格式化程序管理Jenki必威国际有限公司ns»配置全局安全»标记格式化器

默认标记格式化程序纯文本不安全的HTML元字符如<转义,换行符显示为< br / >HTML标记。

另一个通常安装的标记格式化程序是安全的HTML,由OWASP标记格式化器插件.它允许使用HTML的一个基本的、安全的子集。

安全注意事项

用户配置文件描述

每个拥有帐户和总体/阅读权限的用户都可以编辑他们自己的用户配置文件。这包括使用配置的标记格式化程序呈现的描述。

因此,配置允许任意HTML的标记格式化器是不安全的,即使在限制权限的情况下,比如工作/配置建立/更新对完全信任的用户:任何拥有帐户的用户都可以编辑自己的描述,任何其他访问他们个人资料的用户都可能成为跨站攻击的受害者。

当安全领域是使用GitHub、GitLab或谷歌帐户等服务实现时,这对于公开访问的Jenkins实例必威国际有限公司来说尤其危险,可能导致任何人都可以登录Jenkins并编辑自己的个人资料。

⇑确保詹金斯必威国际有限公司
指数

这个页面有用吗?

请通过这个提交你对这个页面的反馈快速形成

或者,如果您不希望完成快速表单,您可以简单地指出,如果您觉得这个页面有帮助?


看到现有的反馈在这里