我们有一个Grails应用程序，目前正在做一些OWASP ZAP安全扫描。出现了一些反CSRF token 扫描程序警报，这很奇怪，考虑到某些URL已在参数中看到了 token 。我们已经使用CSRF Guard(csrfguard-3.1.0)进行了补救，但是似乎这些内容在扫描后仍然出现。是否需要进行一些配置才能使它们消失。 OWASP ZAP的当前版本是2.4.1

ZAP包含“标准”反CSRF token 名称的列表。您正在使用的计算机很可能不在该列表中。

打开“ZAP选项”对话框，然后选择“反CSRF token ”屏幕，然后将您的 token 名称添加到列表中。

如果仍然收到这些警报，并且认为这可能是ZAP问题，请尝试在ZAP用户组上询问:http://groups.google.com/group/zaproxy-users

Simon(ZAP项目负责人)