技术文章

Burp Scanner几乎可以处理所有类型的现代 Web 应用程序，包括单页应用程序 (SPA)。SPA 的动态特性意味着您可能需要使用自定义配置才能准确扫描它们。

配置 SPA 扫描

要配置 SPA 扫描，您需要将自定义扫描配置添加到扫描配置库。然后，您可以将此配置应用于 SPA 站点（在Burp Suite Enterprise Edition中），或者在启动 SPA 扫描时选择它（在Burp Suite Professional中）。

抓取策略

如果扫描的覆盖范围不符合预期，请将爬网策略更改为More Complete。如果这没有效果，请将其更改为最完整。最完整的爬网策略最适合 SPA，但会显着增加爬网时间。

我们不建议使用最快爬网策略来扫描 SPA，因为此配置仅适用于没有任何状态功能的静态站点。此外，最快爬网策略不支持需要扫描程序单击的链接（例如，任何使用onClick或 的element.addEventListener('click', fn)链接）。

您可以使用爬网 > 爬网优化 > 爬网策略扫描配置设置来更改爬网策略。

路由片段

SPA 通常使用 URL 片段进行客户端路由。这使它们能够显示看似几个不同的页面，而无需浏览器向服务器发出额外的请求。Burp Scanner需要知道目标应用程序是否以这种方式使用片段，以便有效地对其进行爬取。默认情况下，如果片段包含以下任何字符，爬虫会假定它用于客户端路由：/ \ ? = &。

如果使用片段进行客户端路由的应用程序未按预期执行，请确保选择“爬网” >“其他”>“应用程序使用片段进行路由扫描”配置选项。

非标准可点击元素

如果应用程序使用非标准可点击元素，请选择抓取 > 抓取优化 > 抓取策略 > 设置 > 单击所有可点击元素扫描配置选项。请注意，这是一项正在进行中的功能，仅当您通过 Burp Suite Professional 扫描时才可用，并且结果可能会有所不同。