カスタムスクリプト

1. 構成設定の「詳細」セクションの「カスタム・スクリプト」を選択します。
2. 「+ 追加」ボタンをクリックします。
3. 必要に応じて、事前入力された「名前」フィールドを編集します。
4. スクリプトに適した「実行コンテキスト」を選択します。:
   1. 要求を送信する前にスクリプトを実行するための「事前要求」。
   2. 応答を受信した後にスクリプトを実行するための「事後応答」。
   3. 複数の手順やフォームへの入力を伴うタスクの「パラメーター」。このコンテキストを setResultValue メソッドと組み合わせて使用すると、スクリプトが AppScan に結果を返すことができます。
5. JavaScript フィールド (コードエディター) に JavaScript を入力し、AppScan 環境内で自動補完候補を表示するには Ctrl+Space を使用します。
6. 「追加」をクリックしてスクリプトを保存します。スクリプトがリストに追加され、デフォルトで有効になります。
7. 「有効」チェックボックスを使用して、カスタム・スクリプトのリストからスクリプトを有効または無効にすることができます。
8. 「有効」チェックボックスを使用するか、スクリプト・リストでスクリプトを編集、削除、または並べ替えて、スクリプトを管理します。
9. 「フル・スキャンの開始」をクリックして、スキャンを実行します。
10. 結果: 有効なスクリプトが、要求または応答ごとに実行されます。「データ」 > 「要求」タブ > 「要求/応答」から、スクリプトの詳細を表示できます。

    構文の正確性および AppScan でサポートされている JavaScript バージョンとの互換性について、スクリプトを検証します。詳細なガイドラインについては、「JavaScript コード」を参照してください。

    注:

    • カスタム・スクリプトはスキャン構成ファイルに保存され、テンプレートを使用してエクスポートできます。これらはスキャン結果には含まれません。
    • デフォルトでは、カスタム・スクリプトはテンプレートにエクスポートされるときに暗号化されます。暗号化を無効にするには、スキャン構成で、「全般: 機密データを暗号化」設定を「False」に設定します。

// Attach Authorization from stored global variable
var token = environment.globalVariables.get("Authorization");
if (token) request.headers.set("Authorization", token);

// Capture token from JSON response and store it for reuse
try {
		var result = JSON.parse(response.body);
		if (result && result.Authorization) {
			environment.globalVariables.addOrUpdate("Authorization", result.Authorization);
		}
} catch(e) { log(e); }

• このコンテキストで使用できるデータ・オブジェクト (request または response) はありません。使用すると null が返されます。
• setResultValue(value) を使用して値を返します。

// Example: Return a unique email for registration flows
function random(n) { return Math.random().toString(36).slice(2, 2+n); }
var email = "test_" + Date.now() + "_" + random(6) + "@example.test";
setResultValue(email);

// Examples:
// Handle headers
request.headers.set("Authorization", "Bearer");
request.headers.add("X-Trace", "abc");

// Manipulate body
request.body = JSON.stringify( { user:"admin" });
if(request.body.includes("admin") { ... }

// Read path
if (request.path.startsWith("/api/v1")) { ... }

// Edit query
request.query.addOrUpdate("lang","en")
request.query.remove("debug")
request.query.getQueryString()

// Read method
if (request.method == "GET") { ... }

1. グローバル変数: グローバル変数データは、ユーザー固有のデータ・ペアを格納するために設計されたキー - 値データ構造です。キーは一意 (2 つの要素が同じキーを持つことはできませんが、複数の要素が同じ値を共有することはできます) であり、実行中のスクリプト間でデータを共有するのに便利です。
2. スキャン状況: 現在のスキャンに関する情報を含んでいます。

   // Check the status of the scan
   environment.status.isInExplore();
   environment.status.isInTest();

• 制限される機能: eval, Function (constructor), setTimeout, setlnterval。これらのいずれかを使用すると、スクリプトは失敗します。
• 制限: 最大実行時間: 5 seconds、メモリー制限: 64 MB.これらの制限を超えると、スクリプトは失敗します。

  失敗した場合、スキャンは一時停止し、詳細が UserScript.log に記録されます。

• ES6: ジェネレーター、末尾呼び出し
• ES8: 共有メモリとアトミック機能
• ES15: Atomics.waitAsync、正規表現フラグ \v

1. スクリプト・エラー: ログ・フォルダー(デフォルト: [UserDataFolder]\AppData\Roaming\HCL\AppScan Standard\logs) でエラーの詳細について確認します。未処理の例外が発生した場合は、コードを try...catch ブロックで囲み、適切に処理します。
2. スクリプトが実行されない: スクリプトが設定で有効になっていることを確認します。

   問題がログイン/認証に関連している場合は、「構成」→ 「詳細構成」 → 「セキュリティー・パッケージ順序」からネゴシエート値を削除し、AppScan がこれらの認証を自動的に処理しないようにします。