5

我有一个 SPA 应用程序(angularjs 前端/restfull WebAPI 后端)。SPA 是使用客户端路由设计的 - 即典型的“页面”看起来像

http://contosco.com#/page1

http://contosco.com#/page2

.. ETC

我知道 ZAP 具有“ajax spidering”模式,它可以“从 javascript”获取 url。然而,主动扫描只是发出 http 请求 - 所以我怀疑 ZAP 是否可以在这种情况下使用 - 还是我错了?

4

1 回答 1

1

您在寻找什么样的漏洞?

您的应用程序仍然必须发出 http 请求,因此 ZAP 仍然能够测试这些请求。

我们还有一个 DOM XSS 扫描器https://github.com/zaproxy/zap-extensions/wiki/HelpAddonsDomxssDomxss,您可以从 ZAP Marketplace 下载它。这将启动一个浏览器来检测 DOM XSS 漏洞。

也很高兴编写更多客户端规则,只需告诉我们您在寻找什么......

于 2016-08-19T09:59:24.973 回答