企业
启用COR与其他应用程序集成
最近更新时间:2022年4月12日
阅读时间:3分钟
如果您想集成bepaly下载软件 有了第三方应用程序或您自己开发的应用程序,它可能需要访问您的网站和扫描数据。这可以使用我们的GraphQL API来实现。但是,对于依赖在用户浏览器中运行的JavaScrbeplay体育能用吗ipt的Web应用程序的情况下,您首先需要启用交叉原始资源共享(科尔斯) 之间bepaly下载软件 和其他应用程序。这只是将其起源添加到白名单的情况。
一旦您将其他应用程序运行的原点进行了白色,其客户端JavaScript将可以访问Burp Suite Enterprise Edition的GraphQl API所公开的完整功能。这使您可以开发更强大的集成应用程序,这些应用程序可以获取相关数据,创建和编辑网站,并使用AJAX直接从浏览器启动新扫描。
笔记
即使您将Burp Suite Enterprise Edition与您的CI/CD系统使用我们的本机插件,您仍然需要使用“ Jenkins或Teamcity URL”来使用“ BURP站点驱动的扫描”选项。
如何在Burp Suite Enterprise Edition中为CORS申请申请
您可以从Burp Suite Enterprise Edition网络设置页面上使用CORS的应用程序。
- 作为管理员登录到Burp Suite Enterprise Edition。
- 从“设置”菜单中,转到“网络”页面。
在“ GraphQl API的允许启动”部分中,输入另一个应用程序正在运行的原点。请注意,这应该包括URL方案,域名和端口。您可以根据需要使用任意数量的来源,每条线都被新行分开。例如:
https://third-party-app.com:8082 https://custom-app.your-company.net:8083- 仔细检查您的条目,然后单击“保存”。
- 测试您的外部应用程序,以确保它现在按预期工作。如果您仍然遇到与CORS相关的问题,请检查
起源关联请求的标题并将其与白名单中的URL进行比较。应该没有差异。
笔记
传入请求的起源仅是指URL方案,域名和端口。换句话说,您可以从所有交叉原始请求中提出https://example.com:8080但是您不能将其限制在特定的子目录中,例如https://example.com:8080/my-app。要获得更多粒状控制,您需要将应用程序部署到专用子域:https://your-app.example.com:8080
我为什么需要这样做?
这相同的原始政策旨在防止在一个网站上运行的脚本访问和与另一个网站上的数据进行交互。beplay体育能用吗这是一个重要的安全机制。如果我们没有执行相同的原始策略,则任意外部网站有可能能够从企业服务器访问敏感数据。beplay体育能用吗
但是,在某些情况下,您可能需要在Burp Suite Enterprise Edition和受信任的应用程序之间启用交叉原始资源共享(CORS)。正是在这种情况下,我们创建了一个白名单功能。仅在您的应用程序中的客户端JavaScript仅在您的应用程序中访问您的数据起源相应的HTTP请求中的标头匹配您已明确白色的原点。