appscan 对于csrf漏洞扫描的坑
做了一个外包项目,这个外包项目对安全的要求贼高,交付之前,一共经历了大概三家的安全测试机构,最后一个机构是市政府中心检测机构的,他们使用的安全检测软件是appscan
这个坑是针对前后端分离的项目:
由于csrf这种漏洞主要是针对修改数据的接口才有效果,所以此次正对csrf的限制,没有针对post接口,通过gettoken接口去服务器拿去token存在cookie里,然后从cookie里提取,并放在请求的参数中,每次的token都不一样,来针对这个漏洞的,但是appscan扫描的时候,把get请求也扫描进去了,所以检测中心一直不让过,说要处理这个问题,于是就加了refer的双层验证