appscan 对于csrf漏洞扫描的坑

做了一个外包项目,这个外包项目对安全的要求贼高,交付之前,一共经历了大概三家的安全测试机构,最后一个机构是市*中心检测机构的,他们使用的安全检测软件是appscan

这个坑是针对前后端分离的项目:

由于csrf这种漏洞主要是针对修改数据的接口才有效果,所以此次正对csrf的限制,没有针对post接口,通过gettoken接口去服务器拿去token存在cookie里,然后从cookie里提取,并放在请求的参数中,每次的token都不一样,来针对这个漏洞的,但是appscan扫描的时候,把get请求也扫描进去了,所以检测中心一直不让过,说要处理这个问题,于是就加了refer的双层验证

appscan 对于csrf漏洞扫描的坑

上一篇:Android Studio 配置文件路径修改


下一篇:JS中Call() and Apply()