我想知道如何使用qooxdoo框架完全使用JavaScript制作网站。 这些网站不包含任何响应HTML内容的服务器请求。加载页面时只传输一个Javascript文件(这是一个几乎空的html页面,只有javascript文件的链接)然后页面由加载的JS文件设置,没有开发人员编写的任何HTML行。
通常,在大多数Web应用程序扫描程序(如Nexpose)中会有一些Spidering / Crawling,它会检查网站上的链接和表单,并抓取他们找到的指向同一域的任何链接,并测试在这些链接上找到的任何参数。我认为这些扫描仪对纯JS页面没有任何影响。
然后还有另一种可能性:代理服务器(如Burp Suite),它捕获发送到服务器的任何流量,并能够检查此请求中找到的任何参数。这可能会用于测试位于网站后面的API-Server(例如,查找SQL注入)。
但是:有没有办法测试客户端,例如XSS(自我或存储)? 或者更一般的说法:您通常需要在这样的纯JS Web应用程序中检查哪些类型的攻击?哪些工具可以帮助解决这个问题?