app scan状态码的坑

1，由于系统没有针对不存在的接口进行处理，所以也返回了200的状态码，这里被appscan扫描后，发送不存在的接口依然返回200告知存在高危漏洞，对pl/sql进行未认证的public访问，然后这个pl/sql是oracle的，我们用的mysql，所以根据报告进行分析得出的结果是返回码导致的，把返回的状态码改成了301重定向到首页，在扫描就不存在这个问题了

2，为了防止浏览器缓存所以在所有的接口后面加了一个时间搓，防止缓存，然后在appscan扫描中就被发现问题，存在csrf漏洞，描述如下，修改请求的时间戳发出请求，但是返回的内容是原来的一致（原因是get请求只加了refer验证，添加的time参数只是用来去处缓存的，并不影响返回内容），被appscan的扫码规则认为存在csrf漏洞，所以取消了时间，最后又导致了from disk cache 最后加入了cache：false解决了问题