我有一个 SPA 应用程序(angularjs 前端/restfull WebAPI 后端)。
SPA 是使用客户端路由设计的 - 即典型的“页面”看起来像
http://contosco.com#/page1
http://contosco.com#/page2
.. 等等
我知道 ZAP 具有“ajax spidering”模式,在该模式下它可以“从 javascript”获取网址。然而,主动扫描只是发出 http 请求 - 所以我怀疑 ZAP 是否可以用于这种情况 - 还是我错了?
最佳答案
你在寻找什么样的漏洞?
您的应用程序仍然需要发出 http 请求,因此 ZAP 仍然可以测试这些请求。
我们还有一个 DOM XSS 扫描器 https://github.com/zaproxy/zap-extensions/wiki/HelpAddonsDomxssDomxss,您可以从 ZAP Marketplace 下载。这将启动一个浏览器来检测 DOM XSS 漏洞。
也很高兴编写更多客户端规则,只需告诉我们您在寻找什么...
关于single-page-application - ZAP 可以用于 SPA 应用吗,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/39020732/