启用子域隔离

关于子域隔离

子域隔离可以减少跨站脚本和其他相关漏洞。有关详细信息，请参阅维基百科上的“跨站脚本”。强烈建议在你的 GitHub Enterprise Server 实例上启用子域隔离。

启用子域隔离后，GitHub Enterprise Server 会以子域替代多个路径。启用子域隔离后，尝试访问某些用户提供内容的以前的路径（如 http(s)://HOSTNAME/raw/）可能会返回 404 错误。

未使用子域隔离的路径	使用子域隔离的路径
`http(s)://HOSTNAME/`	`http(s)://docker.HOSTNAME/`
`http(s)://HOSTNAME/_registry/npm/`	`https://npm.HOSTNAME/`
`http(s)://HOSTNAME/_registry/rubygems/`	`https://rubygems.HOSTNAME/`
`http(s)://HOSTNAME/_registry/maven/`	`https://maven.HOSTNAME/`
`http(s)://HOSTNAME/_registry/nuget/`	`https://nuget.HOSTNAME/`
`http(s)://HOSTNAME/assets/`	`http(s)://assets.HOSTNAME/`
`http(s)://HOSTNAME/avatars/`	`http(s)://avatars.HOSTNAME/`
`http(s)://HOSTNAME/codeload/`	`http(s)://codeload.HOSTNAME/`
`http(s)://HOSTNAME/gist/`	`http(s)://gist.HOSTNAME/`
`http(s)://HOSTNAME/media/`	`http(s)://media.HOSTNAME/`
`http(s)://HOSTNAME/notebooks/`	`http(s)://notebooks.HOSTNAME/`
`http(s)://HOSTNAME/pages/`	`http(s)://pages.HOSTNAME/`
`http(s)://HOSTNAME/raw/`	`http(s)://raw.HOSTNAME/`
`http(s)://HOSTNAME/reply/`	`http(s)://reply.HOSTNAME/`
`http(s)://HOSTNAME/uploads/`	`http(s)://uploads.HOSTNAME/`
`http(s)://HOSTNAME/viewscreen/`	`http(s)://viewscreen.HOSTNAME/`
不支持	`https://containers.HOSTNAME/`

警告：如果禁用子网分隔，建议同时在企业上禁用 GitHub Pages。无法将用户提供的 GitHub Pages 内容与其余企业数据分隔。有关详细信息，请参阅“为企业配置 GitHub Pages”。

启用子域隔离之前，您必须为新域配置网络设置。

警告：初始设置后不要更改 GitHub Enterprise Server 的主机名。更改主机名将会导致意外的行为，甚至包括实例中断和用户安全密钥失效。如果更改了实例的主机名并遇到问题，请联系GitHub Enterprise 支持或GitHub 高级支持。

为上文列出的子域设置通配符域名系统 (DNS) 记录或单独的 DNS 记录。建议为指向服务器 IP 地址的 *.HOSTNAME 创建一条 A 记录，从而无需为各个子域创建多条记录。
为 *.HOSTNAME 获取一个使用者可选名称 (SAN) 同时适用于 HOSTNAME 和通配符域 *.HOSTNAME 的通配符传输层安全 (TLS) 证书。例如，如果主机名为 github.octoinc.com，则获取一个公用名值设为 *.github.octoinc.com、SAN 值同时设为 github.octoinc.com 和 *.github.octoinc.com 的证书。
在设备上启用 TLS。有关详细信息，请参阅“配置 TLS”。