我有一个单页应用程序(使用AngularJS作为前端和RESTful WebAPI作为后端)。
SPA通常采用客户端路由设计,即典型的“页面”看起来像是:
我知道 ZAP 有“ajax spidering”模式,可以从 Javascript 中获取 URL。然而,主动扫描只是进行 HTTP 请求,所以我怀疑在这种情况下 ZAP 是否可用,或者我错了吗?
你在寻找什么样的漏洞?
你的应用程序仍然需要进行http请求,因此ZAP仍然能够测试这些请求。
我们还有一个DOM XSS扫描器https://github.com/zaproxy/zap-extensions/wiki/HelpAddonsDomxssDomxss,你可以从ZAP Marketplace下载。这将启动一个浏览器来检测DOM XSS漏洞。
我们也非常乐意编写更多的客户端规则,只需告诉我们你要寻找什么...