这是对这个问题的追问。如何在OWASP ZAP中捕获HTTP请求。
在我的情况下,原来的网站使用HTTP.Zap(打开HUD)恼人的升级它的HTTPs,它的工作,但当该网站试图访问二级服务器的数据,它通过HTTP头:。Zap(打开HUD)恼人的升级它的HTTPs可以工作,但当该网站试图访问一个二级服务器的数据时,它通过HTTP头。
Origin: https:/example.com
失败,因为该服务器有一个 Access-Control-Allow-Origin: http://example.com
头响应(不含 s 在HTTP的最后)。)
简而言之,有谁找到了让ZAP(打开HUD)停止升级连接到HTTPs的变通方法?这是一个开发网站。我想关闭所有的HTTPs。 在没有ZAP作为代理的常规ChomeFirefox中没有发生这种情况。
对于其他的人在谷歌上搜索这个问题,这里是在Chrome中出现的消息,你可以在控制台中看到。
Access to XMLHttpRequest at 'https://api.example.com/blah' from origin 'https://example.com' has been blocked by CORS policy: The 'Access-Control-Allow-Origin' header has a value 'http://example.com' that is not equal to the supplied origin.
我想通了! 你可以只更换 Access-Control-Allow-Origin
用正确的网站来愚弄Chrome浏览器,让它认为CORS头是好的。
在ZAP中(不是在Chromethe HUD中),进入Tools->Replacer Options。
然后点击 Add
添加一个新的Replacer选项。
像这样。
然后点击 "保存"。现在用HUD重新启动Chrome浏览器,应该就可以了。