Сведения об изоляции поддомена
Изоляция поддомена уменьшает риск межсайтовых сценариев и других связанных уязвимостей. Дополнительные сведения см. в разделе "Межстраничное скриптирование " в Википедии. Настоятельно рекомендуется включить изоляцию поддомена для ваш экземпляр GitHub Enterprise Server.
При включенной изоляции поддомена GitHub Enterprise Server заменяет несколько путей поддоменами. После включения изоляции поддомена попытки получить доступ к предыдущим путям для определенного пользовательского содержимого, например http(s)://HOSTNAME/raw/, могут возвращать ошибки 404.
| Путь без изоляции поддомена | Путь с изоляцией поддомена |
|---|---|
http(s)://HOSTNAME/ | http(s)://docker.HOSTNAME/ |
http(s)://HOSTNAME/_registry/npm/ | https://npm.HOSTNAME/ |
http(s)://HOSTNAME/_registry/rubygems/ | https://rubygems.HOSTNAME/ |
http(s)://HOSTNAME/_registry/maven/ | https://maven.HOSTNAME/ |
http(s)://HOSTNAME/_registry/nuget/ | https://nuget.HOSTNAME/ |
http(s)://HOSTNAME/assets/ | http(s)://assets.HOSTNAME/ |
http(s)://HOSTNAME/avatars/ | http(s)://avatars.HOSTNAME/ |
http(s)://HOSTNAME/codeload/ | http(s)://codeload.HOSTNAME/ |
http(s)://HOSTNAME/gist/ | http(s)://gist.HOSTNAME/ |
http(s)://HOSTNAME/media/ | http(s)://media.HOSTNAME/ |
http(s)://HOSTNAME/notebooks/ | http(s)://notebooks.HOSTNAME/ |
http(s)://HOSTNAME/pages/ | http(s)://pages.HOSTNAME/ |
http(s)://HOSTNAME/raw/ | http(s)://raw.HOSTNAME/ |
http(s)://HOSTNAME/reply/ | http(s)://reply.HOSTNAME/ |
http(s)://HOSTNAME/uploads/ | http(s)://uploads.HOSTNAME/ |
http(s)://HOSTNAME/viewscreen/ | http(s)://viewscreen.HOSTNAME/ |
| Не поддерживается | https://containers.HOSTNAME/ |
Необходимые компоненты
Warning
Если изоляция поддомена отключена, рекомендуется также отключить GitHub Pages в вашей организации. Изолировать предоставленные пользователями данные GitHub Pages от остальных данных организации невозможно. Дополнительные сведения см. в разделе Настройка GitHub Pages для предприятия.
Перед включением изоляции поддомена необходимо настроить параметры сети для нового домена.
- Укажите допустимое доменное имя в качестве имени узла вместо IP-адреса. Дополнительные сведения см. в разделе Настройка имени узла для экземпляра.
Warning
Не изменяйте имя узла для GitHub Enterprise Server после начальной настройки. Изменение имени узла приведет к непредвиденному поведению, вплоть до сбоя экземпляров и недопустимости ключей безопасности пользователей. Если вы изменили имя узла для экземпляра и столкнулись с проблемами, обратитесь к Поддержка GitHub Enterprise или Сведения о поддержке уровня "Премиум" GitHub.
- Настройте запись службы доменных имен (DNS) с подстановочными знаками или отдельные записи DNS для поддоменов, перечисленных выше. Мы рекомендуем создать запись А для
*.HOSTNAME, которая указывает на IP-адрес сервера, чтобы не нужно было создавать несколько записей для каждого поддомена. - Получите сертификат протокола TLS с подстановочными знаками для
*.HOSTNAMEс альтернативным именем субъекта (SAN) дляHOSTNAMEи домена*.HOSTNAMEс подстановочными знаками. Например, если имя узла —github.octoinc.com, получите сертификат со значением общего имени*.github.octoinc.comи заданными для SAN значениямиgithub.octoinc.comи*.github.octoinc.com. - Включите TLS на устройстве. Дополнительные сведения см. в разделе Настройка TLS.
Включение изоляции поддомена
-
В учетной записи администратора GitHub Enterprise Server, в правом верхнем углу любой страницы щелкните .
-
Если вы еще не на странице "Администратор сайта", в левом верхнем углу щелкните Администратор сайта.
-
На боковой панели " "Администратор сайта" щелкните Консоль управления.
-
На боковой панели "Параметры" щелкните Имя узла.
-
Выберите Изоляция поддомена (рекомендовано).
-
На боковой панели "Параметры" нажмите кнопку "Сохранить параметры".
Note
Сохранение параметров в Консоль управления перезапускает системные службы, что может привести к простоям, видимым пользователем.
-
Подождите завершения запуска конфигурации.