SPAアプリケーション(angularjsフロントエンド/ restfull WebAPIバックエンド)があります。私はZAPがする "Ajaxのスパイダリング" モードを持っていることを知っているなどSPAアプリケーションにZAPを使用できます。
...つまり、典型的な "ページ" は
のように見える - SPAは、クライアントのルーティングを使用したデザインであります"javascriptから" URLを取得できます。しかし、アクティブなスキャンではHTTPリクエストが送信されているだけなので、ZAPをこのシナリオで使用することはできませんか、間違っていますか?
...あなたが探しているものを教えて、より多くのクライアント側のルールを記述することも非常に満足://contosco.com#/page1を - ASCANはJavaScriptを理解していない限り(現在はそうではありません)、正しいhtmlビューを読み込まないため、XSSの脆弱性を検証することはできません。 –
DOM XSSスキャナがブラウザを起動し、javascriptを理解しています。 XSSの可能性のある脆弱性をすべて見つけることは間違いありませんが、見つからないものがある場合は、私たちにお知らせください。 –