보안

GitLab 프론트엔드 개발에서 보안을 유지하기 위한 지침으로, 외부 리소스 제한, 인라인 스크립트 방지, HTML 새니타이징 방법을 설명합니다.

리소스 # Mozilla의 HTTP Observatory CLI 와 Qualys SSL Labs 서버 테스트 는 잠재적인 문제를 발견하고 보안 모범 사례 준수를 보장하는 데 유용한 리소스입니다. 외부 리소스 포함 # 외부 폰트, CSS, JavaScript는 Google Analytics 및 Matomo를 제외하고는 절대 사용해서는 안 됩니다. 이 예외는 인스턴스에서 해당 기능이 활성화된 경우에만 적용됩니다. 에셋은 항상 GitLab 인스턴스에서 로컬로 호스팅되고 제공되어야 합니다. iframes 를 통해 임베드된 리소스는 reCAPTCHA와 같이 iframe 없이는 사용할 수 없는 특정 상황을 제외하고는 절대 사용해서는 안 됩니다. 인라인 스크립트 및 스타일 방지 # XSS 취약점 으로부터 사용자를 보호하기 위해, 향후 Content Security Policy를 사용하여 인라인 스크립트를 비활성화할 예정입니다. 인라인 스크립트는 작업을 쉽게 만들 수 있지만, 보안 위협이기도 합니