忽略 URL CSRF Guard

Posted

技术标签:

【中文标题】忽略 URL CSRF Guard【英文标题】:Ignore a URL CSRF Guard 【发布时间】:2015-11-21 05:30:23 【问题描述】:

我在我的 Grails 应用程序中应用了 CSRF Guard。但是在我的登录页面中,我导入了 jquery-1.10.2.min.js 库:

<g:javascript library="jquery-1.10.2.min" />

但是当我运行 OWASP Zap 扫描我的应用程序时,它不断收到警报:Anti CSRF Tokens Scanner on the URL: http://localhost:8080/MyApp/js/jquery-1.10.min.js

CSRF 有没有办法忽略此 URL 并将其标记为受保护,或者有任何其他方法可以忽略此 URL 或通过 OWASP Zap 扫描。

谢谢!

【问题讨论】:

另见here 【参考方案1】:

我刚刚开始开发 ZAP 插件,它可以让您自动更改与警报相关的风险级别。 这将允许您将特定警报标记为误报。

更多详情:https://groups.google.com/d/msg/zaproxy-develop/S81DferznW8/nSFSMDN-BwAJ

干杯,

西蒙

【讨论】:

嗨@Psiinon 实际上我真的不希望 ZAP 忽略它,而是通过扫描。我有点想在某处更改代码或配置。 您可以从整个扫描中排除该 URL。或者如果它的误报引发了一个提供完整细节的问题,我们会调查它:)

以上是关于忽略 URL CSRF Guard的主要内容,如果未能解决你的问题,请参考以下文章

Rails 3.1 - 忽略 CSRF?

如何忽略发送到 Django REST 框架的 CSRF 令牌?

ruby 忽略をつかって一时ファイルを监视対象から外す来自:https://github.com/guard/guard/issues/316?utm_content = borcoco9b58&am

小记一次被忽略的恶CSRF刷收藏漏洞

Spring 安全忽略 url 不适用于我们的安全忽略方法 [重复]

如果有参数,SpringBoot websecurity 不会忽略 url