我编写了一个脚本(js - 跟随Nashorn JS引擎和jsoup进行解析)以与OWASP Zap被动扫描一起使用(将脚本置于被动规则下)。现在我有一个问题,当ZAP处理一个请求时,它不仅加载整个js文件的扫描功能,所以我不能使用变量作为标志来检测我之前设置的一些状态。而且,被动规则中的脚本不支持window对象,localstorage ......所以不能使用。
对于这种情况有什么想法吗?
谢谢,
答案 0 :(得分:1)
您可以使用全局变量在{ZAP>脚本之间传递值:https://github.com/zaproxy/zap-core-help/wiki/HelpAddonsScriptsScripts#global-variables
变量可以通过相同的org.zaproxy.zap.extension.script.ScriptVars类在同一脚本的单独调用之间共享。例如,在Javascript中,您可以按如下方式使用此类:
org.zaproxy.zap.extension.script.ScriptVars.setScriptVar(this.context, "var.name","value")
org.zaproxy.zap.extension.script.ScriptVars.getScriptVar(this.context, "var.name")
请注意,这些方法只能用于提供ScriptContext访问的脚本语言(如Javascript)。