我们有一个Grails应用程序,目前正在做一些OWASP ZAP安全扫描。出现了一些反CSRF token 扫描程序警报,这很奇怪,考虑到某些URL已在参数中看到了 token 。我们已经使用CSRF Guard(csrfguard-3.1.0)进行了补救,但是似乎这些内容在扫描后仍然出现。是否需要进行一些配置才能使它们消失。 OWASP ZAP的当前版本是2.4.1
最佳答案
ZAP包含“标准”反CSRF token 名称的列表。您正在使用的计算机很可能不在该列表中。
打开“ZAP选项”对话框,然后选择“反CSRF token ”屏幕,然后将您的 token 名称添加到列表中。
如果仍然收到这些警报,并且认为这可能是ZAP问题,请尝试在ZAP用户组上询问:http://groups.google.com/group/zaproxy-users
Simon(ZAP项目负责人)
关于grails - CSRF和OWASP ZAP,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/33749129/