Fork自 GitCode / 帮助文档
# Security > 原文:[https://docs.gitlab.com/ee/development/fe_guide/security.html](https://docs.gitlab.com/ee/development/fe_guide/security.html) * [Resources](#resources) * [Including external resources](#including-external-resources) * [Avoiding inline scripts and styles](#avoiding-inline-scripts-and-styles) # Security[](#security "Permalink") ## Resources[](#resources "Permalink") [Mozilla 的 HTTP Observatory CLI](https://github.com/mozilla/http-observatory-cli)和[Qualys SSL Labs Server Test](https://www.ssllabs.com/ssltest/analyze.html)是发现潜在问题并确保遵守安全最佳实践的良好资源. ## Including external resources[](#including-external-resources "Permalink") 除 Google Analytics(分析)和 Piwik 外,切勿使用外部字体,CSS 和 JavaScript-仅在实例启用它时才可以使用. 资产应始终从 GitLab 实例本地托管和服务. 威盛嵌入式资源`iframes`不应该只是在某些情况下,如与验证码,不能没有使用使用`iframe` . ## Avoiding inline scripts and styles[](#avoiding-inline-scripts-and-styles "Permalink") 为了保护用户免受[XSS 漏洞的侵害](https://en.wikipedia.org/wiki/Cross-site_scripting) ,将来我们将使用内容安全策略禁用内联脚本. 尽管内联脚本可能很有用,但它们也是安全问题. 如果无意中对用户提供的内容进行了未经消毒的处理,则恶意用户可以将脚本注入 Web 应用程序. 几乎在所有情况下都应避免使用内联样式,只有在找不到替代方法时才应使用内联样式. 这允许样式的可重用性以及可读性.
