我们能不能在不提交表格的情况下通过邮递员获得CSRF令牌?
我通过邮递员点击HTTP从一个网站获取一些数据。它对我来说很好,但是从最近几天开始,它给了我一个错误。
无效csrf令牌403
因此,当我检查的开发工具的色度,我转到网站的网络选项卡,并检查API。
因此,现在站点还在标头字段中发送CSRF-令牌。
因此,我知道可以生成csrf令牌的API。
我还从API获得令牌,并像在原始站点中所做的那样发送带有标头的令牌。
但是我想知道为什么每次API返回时无效csrf令牌
是否可以通过邮递员发送CSRF令牌。因为据我所知,csrf令牌用于停止伪造请求。站点有一个带有csrf令牌隐藏字段的表单,当表单提交时,浏览器从该隐藏字段获取令牌,并像这样工作。
我想知道几件事:-
1)是否可以通过邮递员在报头字段中发送csrf令牌。或者,我们必须通过浏览器登录到网站,只有我们才能获得数据。 2)如何使用邮递员从网站上获取数据? (3)我是否需要使用一些无头浏览器来实现这一点? 4)当我完成一篇文章时,他们说我们需要在cookie中设置csrf令牌,然后我们可以从cookie中获取令牌并发送请求。
任何帮助都是非常感谢的。
谢谢
回答 2
Stack Overflow用户
发布于 2018-07-25 15:22:57
通常,CSRF令牌实现与会话绑定,因此请确保您使用的是同一个会话。当调用返回CSRF令牌时,将创建会话。
如果后端使用cookie进行会话实现,则可以使用Post中的cookie拦截器传递相同的会话cookie。
Stack Overflow用户
发布于 2020-07-02 11:02:41
- 是否可以通过邮递员在报头字段中发送csrf令牌?或者,我们必须通过浏览器登录到网站,只有我们才能获得数据。
您可以从访问网站获得CSRF令牌,但通过邮递员发送。CSRF令牌,在许多情况下,不依赖于网站登录,只取决于网站访问。
- 如何使用邮递员从网站上获取数据?
如果一个网站在响应头中返回CSRF,那么您可能会在Postman中使用它。
如果你需要其他数据-这取决于网站的反应.我认为,如果你的CSRF或/和其他形式的数据是正确的,你就能得到数据。
- 我需要使用一些无头浏览器来实现这一点吗?
使用浏览器自动化是最好的,因为浏览器管理所有会话数据,包括cookie、标头等。
- 当我完成一篇文章时,他们说我们需要在cookie中设置csrf令牌,然后我们可以从cookie中获取令牌并发送请求。
是的,CSRF可能是由服务器在cookie中或作为单独的请求头来设置或需要的。因此,可能需要CSRF (视网站而定)在下列任何情况下:
- cookie标头
- 单独报头
- 形域
我建议您使用脚本语言来使用CSRF (或类似的)来获取数据。一个示例展示了如何用Python实现它。
备注
如果站点随每个请求/响应更改CSRF,则该示例将无法工作。
https://stackoverflow.com/questions/51522215
复制相似问题
腾讯云开发者
