簡體 English 中英

通過時事通訊注冊表單的 Zap 缺少反 CSRF 令牌測試的正確方法

[英]Correct method to pass Zap Absence of Anti-CSRF Tokens test for newsletter signup form

原文 2022-12-23 20:59:21 5 1 javascript/ angular/ forms/ owasp/ zap

我有一個面向公眾的表單，我認為它不需要 CSRF 保護。 它只是一個時事通訊注冊表單。 但是當我們在上面運行 Zap Pen Test 時，我們得到以下錯誤：

No Anti-CSRF tokens were found in a HTML submission form.

Evidence:
<form data-cookie-name="newsletter" data-marketo-id="1031" id="newsletterForm" class="form-horizontal" ng-submit="submit(newsletterForm)" ng-controller="NewsletterSignupController" name="newsletterForm">

該時事通訊使用 Angular 作為控制器，我們在控制器中執行 POST 以將電子郵件發送到服務器。

問題：

我真的需要在面向公眾的表單上實施 CSRF 令牌嗎？ 如果沒有，我如何讓滲透測試通過而不出現這個錯誤？

1 個解決方案

那么您可以將其標記為誤報（在 GUI 中或通過 API）。
您可以設置警報過濾器以將其設置為誤報。
您可以設置規則配置以忽略有問題的表單。

是否需要在表單上防止 CSRF 是企業主的問題。 是否存在處理問題？ 是否擔心投訴或聲譽受損？

聊天應用中的反CSRF方法，其中文本區域僅渲染一次

[英]Anti-CSRF approach in chat application where textarea is rendered once

使用 javascript 彈出窗口對時事通訊注冊進行表單驗證

[英]form validation for newsletter signup with javascript popup

使用Mootools的新聞稿注冊表，沒有頁面重新加載

[英]Newsletter Signup Form using Mootools, no page reload

如何使用CSRF測試快遞表格？

[英]How to test express form post with CSRF?

第一個訪問者的Shopify簡報注冊彈出窗口

[英]Shopify newsletter signup popup for first visitors

通訊表格輸入數據庫

[英]Newsletter Form Entry to Database

在表單提交時，通過php文件獲取CSRF並將值傳遞給請求

[英]On form submit, get CSRF via php file and pass the value to the request

想要跟蹤AJAX簡報注冊為Google Analytics事件

[英]Want to track AJAX newsletter signup as Google Analytics event

Django +在Ajax中保存（新聞稿）表單

[英]Django + save (newsletter) form in ajax

Phaser登錄/注冊表格

[英]Phaser login/signup form

暫無

暫無

聲明:本站的技術帖子網頁，遵循CC BY-SA 4.0協議，如果您需要轉載，請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 聊天應用中的反CSRF方法，其中文本區域僅渲染一次使用 javascript 彈出窗口對時事通訊注冊進行表單驗證使用Mootools的新聞稿注冊表，沒有頁面重新加載如何使用CSRF測試快遞表格？第一個訪問者的Shopify簡報注冊彈出窗口通訊表格輸入數據庫在表單提交時，通過php文件獲取CSRF並將值傳遞給請求想要跟蹤AJAX簡報注冊為Google Analytics事件 Django +在Ajax中保存（新聞稿）表單 Phaser登錄/注冊表格

相關標簽

粵ICP備18138465號 © 2020-2024 STACKOOM.COM