我正在使用 OWASP ZAP 扫描 API,并且已成功导入 OpenAPI 定义。但是,我正在努力配置授权标头(特别是 JWT 令牌),以便将其包含在 ZAP 发送的所有请求中。
我尝试过的: 我添加了基于脚本的身份验证方法并编写了一个脚本来包含 Authorization: Bearer 标头。 我验证了脚本是否已正确加载到“身份验证”部分下的“脚本”选项卡中。 我在上下文的“会话属性”->“身份验证”面板中配置了脚本。
即使进行了此设置,ZAP 发送的请求也不包含授权标头。我目前正在使用身份验证默认模板来尝试调试
如果您只想包含特定标头,请使用身份验证环境变量:
ZAP_AUTH_HEADER_VALUE - if this is defined then its value will be added as a header to all of the requests
ZAP_AUTH_HEADER - if this is defined then its value will be used as the header name - if it is not defined then the standard Authorization header will be used
ZAP_AUTH_HEADER_SITE - if this is defined then the header will only be included in sites whose name includes its value
对于其他任何内容,请从 ZAP 文档开始:https://www.zaproxy.org/docs/authentication/