appscan 对于csrf漏洞扫描的坑

做了一个外包项目，这个外包项目对安全的要求贼高，交付之前，一共经历了大概三家的安全测试机构，最后一个机构是市政府中心检测机构的，他们使用的安全检测软件是appscan

这个坑是针对前后端分离的项目：

由于csrf这种漏洞主要是针对修改数据的接口才有效果，所以此次正对csrf的限制，没有针对post接口，通过gettoken接口去服务器拿去token存在cookie里，然后从cookie里提取，并放在请求的参数中，每次的token都不一样，来针对这个漏洞的，但是appscan扫描的时候，把get请求也扫描进去了，所以检测中心一直不让过，说要处理这个问题，于是就加了refer的双层验证

原文：https://www.cnblogs.com/ceshizhilu/p/12909739.html