在jquery.js（Wordpress提供）中发现跨站点请求伪造

我正在为我的客户运行wordpress站点。我的客户已经在网站上运行了安全测试（使用W3AF），报告说在jquery.js和jquery.migrate.min.js的网站上发现了CSRF。（这些文件由wordpress提供）

报告如下：

在以下位置发现跨站点请求伪造：。在id为397的请求中发现了此漏洞。

在以下位置发现跨站点请求伪造：。在id为406的请求中发现了此漏洞

它也在style.css中显示

---

请指导我如何解决这个问题。

扫描工具总能发现大量误报。很难看出对静态脚本文件的GET请求如何构成CSRF。没错，bobnice，没有实际的漏洞。但是为了从报告中隐藏这些错误，我在jquery.js和其他文件中隐藏以显示版本。它会抱怨任何不使用CSRF参数和一些预先确定的名称的URL，如果启用了

\u strict\u mode

，甚至会包括对静态资源的GET请求，这是荒谬的。（在一个设计正确的应用程序中，所有的GET请求都应该是幂等的，因此不需要CSRF保护；在查询字符串中包括CSRF令牌是一个非常糟糕的想法，这个工具对于鼓励您这样做是非常不利的。）您能将<代码>？像

wp包含/js/*

？扫描器应该是一个帮助你发现问题的工具，而不是一个需要服从的主人。如果你明白为什么一个发现是垃圾，那么忽略它/让它沉默比做一些愚蠢的事情（比如推荐人检查，它也鼓励）让工具闭嘴要好。这段代码似乎有问题；我认为这比没用更糟糕。扫描工具总是发现大量的误报。很难看出对静态脚本文件的GET请求如何构成CSRF。没错，bobnice，没有实际的漏洞。但是为了从报告中隐藏这些错误，我在jquery.js和其他文件中隐藏以显示版本。它会抱怨任何不使用CSRF参数和一些预先确定的名称的URL，如果启用了

\u strict\u mode

，甚至会包括对静态资源的GET请求，这是荒谬的。（在一个设计正确的应用程序中，所有的GET请求都应该是幂等的，因此不需要CSRF保护；在查询字符串中包括CSRF令牌是一个非常糟糕的想法，这个工具对于鼓励您这样做是非常不利的。）您能将<代码>？像

wp包含/js/*

？扫描器应该是一个帮助你发现问题的工具，而不是一个需要服从的主人。如果你明白为什么一个发现是垃圾，那么忽略它/让它沉默比做一些愚蠢的事情（比如推荐人检查，它也鼓励）让工具闭嘴要好。这段代码似乎有问题；我认为这比没用还糟糕。