参数、Cookie 和标头定义
您可以定义要在扫描过程中排除不进行测试的参数、Cookie 和头。
过程
-
要添加新定义,请单击 +添加。
此时会显示添加参数定义对话框。
设置
描述
类型
从下拉列表中选择参数类型:
参数:与该名称匹配的所有参数都包含在定义中。
Cookie:与该名称匹配的所有 Cookie 都包含在定义中。
定制参数:这是一个定制参数(从名称下拉列表中选择其中一个定制参数)
标头:与该名称匹配的所有标头都包含在定义中。
名称
参数、Cookie 或头的名称。
如果您输入的名称是正则表达式,请选中相邻复选框。如果执行此操作,您还可以打开 Expression Test PowerTool,方法是单击
,以帮助您验证正则表达式的语法。请参阅参数名称以获取详细信息。
注释
您可以选择性地在该字段中添加参数的注释,以便自己参考。
主机
如果指定主机:此参数仅用于指定主机。
如果留空:对所有主机使用该会话标识。
路径
如果应用程序的不同部分中提供了相同名称的 Cookie,那么可以通过为每个 Cookie 定义路径为区分 Cookie。
空白,或者将包含所有出现的 Cookie。
测试
仅当您确定完全不希望 AppScan® 测试此参数时,才清除此复选框。
跟踪
此设置告知 AppScan®,只要应用程序设置了新值,在扫描期间就应更新此参数或会话标识,以便在请求中,有效的 Cookie/参数始终发送到应用程序。
此选项不适用于头。
跟踪选项
(单击该链接以打开对话框的该可选部分。)
这些选项使您可以微调对跟踪的参数或 Cookie 的处理方式。
跟踪类型- 登录值:(缺省值,建议)发送到应用程序且包含该参数的请求会使用在登录过程中所接收到的最后一个参数值,不包含会话中请求本身。提示: 若要跟踪会话中响应内的参数,需要将其跟踪类型设置为动态值,而非登录值,并验证扫描配置 > 高级配置 > 会话管理:解析会话中页面是否设置为 True(缺省设置)。注: 如果记录登录步骤是多步骤序列的一部分,则将已接收的参数定义为“登录值”不会影响它的使用方式。它将始终被视为“动态”。
- 动态值:发送到应用程序中且包含该参数的请求会使用从应用程序所接收到的最新值。
- 固定值:发送到应用程序中且包含该参数的请求总是会使用您输入到“值”字段中的值。
在所有请求上发送 Cookie:如果选择此选项,那么所有请求中都将包含 Cookie,即使应用程序未明确设置。
视为组:如果 Cookie 名称是一个正则表达式,则定义是将匹配正则表达式的不同 Cookie 名称视为组(并且只要有更改,便会更新名称以及值),还是视为单独的 Cookie。此功能仅适用于基于请求的探索。
响应模式:通常,AppScan® 根据从响应(参数)或者从 Cookie 标头 (Cookie) 提取的链接内容来更新参数或 Cookie 值。如果 AppScan® 无法独立抽取值,那么您可以提供正则表达式,使 AppScan® 能够将其用于从原始响应中抽取值。正则表达式必须至少包含一个组,并且 AppScan® 将抽取第一个匹配项。- URL 过滤器:如果您知道参数/Cookie 仅出现在特定 URL 中,那么您可以通过在此处定义完整 URL 路径来提高扫描效率。
- 编码:如果提取的值在粘贴到请求中时必须进行编码,请在此处定义方法。如果不确定是否编码,请选择根据上下文;如果您确定,那么最好是选择正确编码。选项包括:“无”、“根据上下文”、“URL”、“XML”和“JSON”。
- 匹配:选择标头和主体(缺省)或仅主体。
冗余调整
(单击该链接以打开对话框的该可选部分。)
这四个复选框使您能够细微调整 AppScan® 在扫描的“探索”和“测试”阶段与参数中的更改(甚至是参数的存在状态)的相关方式。请参阅 冗余调整
- 登录值:(缺省值,建议)发送到应用程序且包含该参数的请求会使用在登录过程中所接收到的最后一个参数值,不包含会话中请求本身。
- 根据需要定义项目,然后单击确定。
-
要管理已定义的参数,请单击
,然后选择编辑进行修改,或选择删除以删除参数。
提示: 将鼠标悬停在表中列出的参数上,可看到三个竖点菜单。
用于定义参数或 Cookie 的标识
参数或 Cookie 根据特定标识来被识别为唯一。因此,您不能使用相同标识来定义两个或更多参数或 Cookie。下表显示了每种条目的标识。
| 参数 | 参数名称(无论是正则表达式还是主机) |
| Cookie | 参数名称(无论是正则表达式、主机还是路径) |
| 定制参数 | 抽取的名称(如果存在)、引用名称、主机、发生索引 |