Dokument GitLab znajduje się tutaj: https://gitlab.com/gitlab-org/gitlab-ce/blob/master/doc/web_hooks/web_hooks.md
Co próbowałem:
- request.hostname: nazwa hosta może być fałszywa?
- request.ip: ale nie znam gpsów gitlab i mogą one ulec zmianie w przyszłości
- Próbowałem znaleźć coś podobnego do Githuba
Secret
podczas tworzenia webhook, sekret może być użyty do sprawdzenia treści żądania, ale nic - https: czy to pomaga?
Jak upewnić się, że żądanie pochodzi z GitLab? Czy istnieje dobry sposób?
Odpowiedzi:
2 dla odpowiedzi № 1Możesz dołączyć tajny token, który wprowadzasz tylko w interfejsie gitlab i nie jest znany nikomu, a następnie sprawdzasz token przy każdym żądaniu.
Można to dodać jako parametr cgi, np ?token=somesecretvalue
na końcu adresu URL do webhoka, gdy jest używany z https.