由于前后端分离,前端需要根据返回的参数,来进行判断是否进入对应的页面,于是appscan扫描的时候,通过修改返回的状态码,来进入未登录的用户的界面,但是执行接口请求的时候,是无法通过的,但是甲方一定要要去这种方法是不可行的,说存在安全漏洞,但是前后端分离只能通过传的参数,又前端去跳页面,后端无法直接返回页面。应付方法,把判断的那个参数改了名字并放到的cookie中,虽然原理一样,但是可以躲避程序的扫描
原文:https://www.cnblogs.com/ceshizhilu/p/12909799.html