如何防止OWASP ZAP扫描仪以标准模式击中外部URL？

Question

我是Owasp Zap的新手。我在本地主持的网站上以标准模式进行了自动扫描（ http://127.0.0.0.1.1:8000 ）带有传统和Ajax蜘蛛。

Localhost网站上有一些外部公共URL不在

1. 蜘蛛选项卡显示了以外的外部URL。
2. Ajax蜘蛛选项卡显示了一些返回的403禁止的外部URL。
3. 活动扫描选项卡在底部显示content-signate-2.cdn.mozilla.net。

ZAP实际上是否“扫描”了这些外部URL？如果是，那么如何防止这种情况发生？这会导致某种法律问题吗？

谢谢。

Answer 1

Ajax Spider没有击中这些URL-请求是由ZAP启动的浏览器制成的，ZAP正在返回403s。
ZAP将允许对JavaScript文件的请求（我认为来自内存中的CSS文件）将阻止这些破坏许多应用程序。但是，这些只是任何浏览器都会提出的标准请求-ZAP不会攻击超出范围的URL。