我已经正确设置了 ZAP 并进行了身份验证,但是当我抓取时,它不会抓取任何页面。我的应用程序是一个 SPA,客户端呈现的应用程序。它是一个与 C# API 通信的角度应用程序,我正在本地主机上运行/测试。
我已经阅读了结构参数,但 ZAP 的网站没有任何关于如何实际填写/设置它们的有用信息。我的网址有点奇怪,通常类似于:
host/#/page_type/id/sub_page/id;param=X;param2=Y该应用程序加载速度也相当慢,我担心如果链接需要 3 秒才能显示,ZAP 将无法抓取链接。这是一个合理的担忧吗?
正如 @kingthorin 提到的,ZAP 无法收集有关现代 Web 应用程序中的路由的信息,因为这些 URL 片段由浏览器单独处理(ZAP 拦截的实际 HTTP 请求不包含片段)。
但是,最近通过客户端集成插件(又名“客户端插件”)稍微增强了对客户端信息的支持。截至 2024 年 6 月,它仍处于开发的早期阶段(请参阅 2023 年 11 月的此公告)。这就是为什么必须通过“帮助>检查更新>市场”菜单手动执行安装的原因。
此附加组件引入了一些新选项卡,有助于绘制已访问和未访问的路线,并提供有关这些视图之间链接的见解。这表明 Ajax Spider 在不久的将来可以进一步改进以处理这些“动态页面”。