1,由于系统没有针对不存在的接口进行处理,所以也返回了200的状态码,这里被appscan扫描后,发送不存在的接口依然返回200告知存在高危漏洞,对pl/sql进行未认证的public访问,然后这个pl/sql是oracle的,我们用的mysql,所以根据报告进行分析得出的结果是返回码导致的,把返回的状态码改成了301重定向到首页,在扫描就不存在这个问题了
2,为了防止浏览器缓存所以在所有的接口后面加了一个时间搓,防止缓存,然后在appscan扫描中就被发现问题,存在csrf漏洞,描述如下,修改请求的时间戳发出请求,但是返回的内容是原来的一致(原因是get请求只加了refer验证,添加的time参数只是用来去处缓存的,并不影响返回内容),被appscan的扫码规则认为存在csrf漏洞,所以取消了时间,最后又导致了from disk cache 最后加入了cache:false解决了问题