我们有一个Grails应用程序,我们正在进行一些OWASP ZAP安全扫描。已经出现了一些反CSRF令牌扫描程序警报,考虑到某些URL已经在参数中看到令牌,这很奇怪。我们已经使用CSRF Guard(csrfguard-3.1.0)来解决这些问题,但似乎这些仍在扫描后出现。是否需要进行一些配置才能使它们消失。当前版本的OWASP ZAP是2.4.1
答案 0 :(得分:2)
ZAP包含“标准”反CSRF令牌名称列表。很可能你正在使用的那个不在那个列表中。
打开ZAP选项对话框并选择'反CSRF代币'屏幕,然后将您的代币名称添加到列表中。
如果您仍然收到这些警报并且您认为它可能是ZAP问题,请尝试询问ZAP用户组:http://groups.google.com/group/zaproxy-users
Simon(ZAP项目负责人)