我如何使用OWASP的Zap Proxy中的HUD与HTTP站点合作?
问题描述 投票:0回答:1
这是对这个问题的追问。如何在OWASP ZAP中捕获HTTP请求。
在我的情况下,原来的网站使用HTTP.Zap(打开HUD)恼人的升级它的HTTPs,它的工作,但当该网站试图访问二级服务器的数据,它通过HTTP头:。Zap(打开HUD)恼人的升级它的HTTPs可以工作,但当该网站试图访问一个二级服务器的数据时,它通过HTTP头。
Origin: https:/example.com
失败,因为该服务器有一个 Access-Control-Allow-Origin: http://example.com 头响应(不含 s 在HTTP的最后)。)
简而言之,有谁找到了让ZAP(打开HUD)停止升级连接到HTTPs的变通方法?这是一个开发网站。我想关闭所有的HTTPs。 在没有ZAP作为代理的常规ChomeFirefox中没有发生这种情况。
对于其他的人在谷歌上搜索这个问题,这里是在Chrome中出现的消息,你可以在控制台中看到。
Access to XMLHttpRequest at 'https://api.example.com/blah' from origin 'https://example.com' has been blocked by CORS policy: The 'Access-Control-Allow-Origin' header has a value 'http://example.com' that is not equal to the supplied origin.
1个回答
2
投票
投票
我想通了! 你可以只更换 Access-Control-Allow-Origin 用正确的网站来愚弄Chrome浏览器,让它认为CORS头是好的。
在ZAP中(不是在Chromethe HUD中),进入Tools->Replacer Options。
然后点击 Add 添加一个新的Replacer选项。
- 选项:描述。 替换Access-Control-Allow-Origin(访问控制-允许来源)。
- 匹配Regex。 未选中
- 匹配字符串。 Access-Control-Allow-Origin(访问控制-允许-起源)
- 匹配类型。 响应头(如果没有,将添加)
- 替换字符串。 https:/example.com。
- 启用。 已检查
像这样。
然后点击 "保存"。现在用HUD重新启动Chrome浏览器,应该就可以了。
最新问题
- 如何在Windows上安装koha测试docker?
- 如何创建带有图标的Win32 API菜单项?
- SocketIO 从服务器发送消息时出现“数据包队列为空,正在中止”错误
- 如何将数据帧第二列中的 NA 替换为第二列中的非 na 值?
- 何时使用 asyncio.get_running_loop() 与 asyncio.get_event_loop()?
- 在 libreoffice/openoffice calc 中添加任意年数(或月或日)到日期时间单元格值
- 如何让初始WindowGroup在启动时重新打开(visionOS)
- 在Mysql中使用OR时如何选择选择哪一行
- 如何使用 Terraform 模块在一个 main.tf 文件中创建多个资源
- 将 FastAPI 与石墨烯 Graphql 集成
- 读取csv并获取表数据并写入文本文件输出
- 作为系统运行应用程序(无需 PSTools)
- 如何在 Azure Devops Pipelines 扩展中对 base64 进行编码
- 何时使用几何平均数与算术平均数?
- DBT升级到1.1.1版本后使用MFA连接snowflake
- 如何使用neovim远程功能
- 旧版 JDK 8 项目 - Azure Java SDK 出现运行时错误
- Https 仅适用于一个 ASP.NET Web 表单应用程序?
- 捕获相机源 .net maui
- 创建 if 语句:条件错误长度 > 1
© www.soinside.com 2019 - 2024. All rights reserved.