Scrapy 2.6.2 代理设置,Proxy-Authorization 安全漏洞修复

已于 2022-08-24 21:24:31 修改
阅读量4.4k 收藏
点赞数
分类专栏: python 爬虫 文章标签: Scrapy
于 2022-08-24 18:38:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Yy_Rose/article/details/126500936
版权

Scrapy 2.6.2

在最新版本的 Scrapy 2.6.2 (2022-07-25) 中,更新了 Proxy-Authorization 的处理逻辑,代理的设置方式也需进行相应的更改:

官方文档:Release notes — Scrapy 2.6.2 documentation

httpproxy 源码:scrapy.downloadermiddlewares.httpproxy — Scrapy 2.6.2 documentation

根据官方描述,相关逻辑编写在 HttpProxyMiddleware 类中,源码文件在本地的路径为:

Python 安装路径\Lib\site-packages\scrapy\downloadermiddlewares\httpproxy.py,相关代码位置:

def process_request(self, request, spider):
    creds, proxy_url = None, None
    if 'proxy' in request.meta:
        if request.meta['proxy'] is not None:
            creds, proxy_url = self._get_proxy(request.meta['proxy'], '')
    elif self.proxies:
        parsed = urlparse_cached(request)
        scheme = parsed.scheme
        if (
            (
                # 'no_proxy' is only supported by http schemes
                scheme not in ('http', 'https')
                or not proxy_bypass(parsed.hostname)
            )
            and scheme in self.proxies
        ):
            creds, proxy_url = self.proxies[scheme]
​
    self._set_proxy_and_creds(request, proxy_url, creds)
    
def _set_proxy_and_creds(self, request, proxy_url, creds):
    if proxy_url:
        request.meta['proxy'] = proxy_url
    elif request.meta.get('proxy') is not None:
        request.meta['proxy'] = None
    if creds:
        request.headers[b'Proxy-Authorization'] = b'Basic ' + creds
        request.meta['_auth_proxy'] = proxy_url
    elif '_auth_proxy' in request.meta:
        if proxy_url != request.meta['_auth_proxy']:
            if b'Proxy-Authorization' in request.headers:
                del request.headers[b'Proxy-Authorization']
            del request.meta['_auth_proxy']
    elif b'Proxy-Authorization' in request.headers:
        del request.headers[b'Proxy-Authorization']

要想在保留代理的条件下删除代理凭据,需要删除 Proxy-Authorization,若一开始在请求中定义了 proxy,例如 request.meta['proxy'] = “http://username:password@some_proxy_server:port,Scrapy 会自动在请求头中设置 Proxy-Authorization,若请求头中已经设置了 Proxy-Authorization,则会导致其被删除掉,所以如果同时定义了 proxy 和 Proxy-Authorization,代码就会报错,例如:scrapy.core.downloader.handlers.http11.TunnelError: Could not open CONNECT tunnel with proxy XXXXXX:XXX [{'status': 407, 'reason': b'XXXXXXX'}]

以往在 scrapy 中设置代理的方法

1. 在 middlewares.py 中配置

方法一:

class ProxyDownloaderMiddleware:
    def process_request(self, request, spider):
        proxy = "some_proxy_server:port"
        request.meta['proxy'] = "http://%(proxy)s" % {'proxy': proxy}
        # 用户名密码认证
        request.headers['Proxy-Authorization'] = basic_auth_header('username', 'password')
        request.headers["Connection"] = "close"
        return None

方法二:

class ProxyDownloaderMiddleware:
    def process_request(self, request, spider):
        request.meta['proxy'] = "http://some_proxy_server:port"
        proxy_user_pass = "username:password"
        encoded_user_pass = base64.encodestring(proxy_user_pass)
        request.headers['Proxy-Authorization'] = 'Basic ' + encoded_user_pass
        request.headers["Connection"] = "close"
        return None

上述两种方法还需要在 settings.py 中进行如下配置:

DOWNLOADER_MIDDLEWARES = {
   'dltest.middlewares.ProxyDownloaderMiddleware': 100,
}
​
ROBOTSTXT_OBEY = False

2. 在 spider.py 中配置

    def start_requests(self):
        url = "代理测试网址"
        proxy = {'proxy': 'https://username:password@some_proxy_server:port'}
        yield scrapy.Request(url, callback=self.parse, meta=proxy)
​
    def parse(self, response):
        print(response.text)

Scrapy 2.6.2 中设置代理的方法

在 Scrapy 2.6.2 中前两个方法都会报错,可以改为以下方式,HttpProxyMiddleware 会自动在请求头中添加 Proxy-Authorization:

class ProxyDownloaderMiddleware:
    def process_request(self, request, spider):
        proxy = "username:password@some_proxy_server:port"
        request.meta['proxy'] = "http://%s" % proxy
        request.headers["Connection"] = "close"
        return None

跟之前一样直接在 spider.py 中配置也是可以的,还有一种方式就是将 httpproxy.py 文件中的最后两行代码注释掉也能正常运行,但是不建议使用这种方式,因为官方这么更改是为了防止代理凭据的意外泄漏,肯定是做过大量调研后决定的方案,详细安全漏洞修复说明可以阅读官方文档:

# elif b'Proxy-Authorization' in request.headers:
#    del request.headers[b'Proxy-Authorization']

Yy_Rose
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
身份验证漏洞,花三分钟看完这篇文章你就懂了
m0_61369275的博客
04-07 1007
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
请求首部:Proxy-Authorization
program is a art
04-07 2784
接收到从代理服务器发来的认证质询时,客户端会发送包含首部字段Proxy-Authorization的请求,以告知服务器认证所需要的信息 这个行为是与客户端和服务器之间的HTTP访问认证相类似,不同之处在于,认证行为发生在客户端与代理之间.客户端与服务器之间的认证,使用首部字段Authorization可起到相同作用 Proxy-Authorization:Basic dglwOjkpN...
HTTP协议中的Proxy-Authenticate和Proxy-Authorization头部有什么用?
最新发布
长风破浪会有时的博客
05-01 334
当我们收到Proxy-Authenticate头部的提示后,我们就需要按照它的要求来准备认证信息。总的来说,Proxy-Authenticate和Proxy-Authorization头部就像是我们和代理服务器之间的“暗号”,帮助我们证明自己的身份,以便通过代理服务器访问互联网上的资源。如果代理服务器认为我们的认证信息是正确的,那么它就会让我们通过,帮助我们访问那个资源。Proxy-Authorization头部就像是我们对代理服务器说:“你看,这是你要的认证信息,现在我可以通过你访问那个资源了吗?
scrapy移除Proxy-Authorization头部信息
qq_35045170的博客
10-22 1373
项目使用scrapy框架抓取某网站,代理使用讯代理的自动转发。在程序运行后发现,返回值为auth fail, no auth header。网站为https协议。 检查源码发现,scrapy框架自动去除了Proxy-Authorization的头部信息,导致代理不可用。 解决办法:进入\site-packages\scrapy\core\downloader\handlers\http11.py注...
身份验证漏洞
Au_Wind的博客
01-25 932
身份验证漏洞
BurpSuite练兵场系列之服务器端漏洞篇 - 身份验证专题
weixin_50464560的博客
08-15 1377
https://www.anquanke.com/post/id/245533 robots   本系列介绍 PortSwigger是信息安全从业者必备工具burpsuite的发行商,作为网络空间安全的领导者,他们为信息安全初学者提供了一个在线的网络安全学院(也称练兵场),在讲解相关漏洞的同时还配套了相关的在线靶场供初学者练习,本系列旨在以梨子这个初学者视角出发对学习该学院内容及靶场练习进行全程记录并为其他初学者提供学习参考,希望能对初学者们有所帮助。   梨子有话说 梨子也算是W
proxy-middleware:从设置中读取代理配置的Scrapy中间件
05-16
代理中间件 从设置中读取代理配置的Scrapy中间件。 内容pip install proxy-middleware 从设置文件设置代理的中间件。 用法:将其添加到scrapy设置中的DOWNLOADER_MIDDLEWARES中: DOWNLOADER_MIDDLEWARES = { 'proxy...
scrapy-zyte-smartproxy:用于Scrapy的Crawlera中间件
05-03
scrapy-crawlera提供了与一起轻松使用的功能。 要求 Python 2.7或Python 3.4+ cra草 安装 您可以使用pip安装scrapy-crawlera: pip install scrapy-crawlera 文献资料 可在和docs目录中在线获取docs 。
scrapy_redis-0.6.8-py2.py3-none-any.whl
04-17
scrapy_redis-0.6.8-py2.py3-none-any.whl 使用方式 pip install xx.whl 即可
docs-scrapy-org-en-1.8.zip
04-10
这个名为"docs-scrapy-org-en-1.8.zip"的压缩包包含了Scrapy 1.8版本的官方英文文档,是学习和理解Scrapy框架的重要资源。以下是基于Scrapy 1.8版本的几个关键知识点的详细说明: 1. **Scrapy架构**:Scrapy基于...
scrapy-rotating-proxies:与Scrapy一起使用多个代理
05-06
安装pip install scrapy-rotating-proxies用法将带有代理列表的ROTATING_PROXY_LIST选项添加到settings.py: ROTATING_PROXY_LIST = [ 'proxy1.com:8000', 'proxy2.com:8031', # ...]或者,您可以指定一个ROTATING_...
HTTP协议的头信息详解
01-06
HTTP协议的头信息详解,包含:通用头域、常见的HTTP返回码、客户端发送的内容、服务器返回的消息等
HTTP代理授权方式介绍
D0126_的博客
08-10 1652
而为了确保代理的正常使用,并避免被滥用,代理服务商通常会采用授权方式。在本文中,我们将介绍几种常见的HTTP代理授权方式,以帮助你更好地理解和使用代理。通过了解不同的授权方式,我们能够更好地选择适合自己需求的代理,并将其应用于我们的爬虫项目中。有些代理服务商要求在请求头的"Proxy-Authorization"字段中添加代理认证信息。有些代理服务商要求在发送请求时,在代理地址中加入用户名和密码进行身份验证。三、使用代理认证标头的授权方式(Proxy-Authorization
python http proxy 驗証
liukeforever的专栏
04-08 5747
sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)     sock.connect(('172.17.5.53', 80)) sock.send('GET http://www.google.com HTTP/1.1/r/nAccept-Encoding: identity/r/nHost: www.google.com/r/nProxy-Authorization: Basic bGs6MjAwMg==/r/nConnection: c
6.7 代理认证
用不完的好奇心
10-21 2022
代理可以作为访问控制设备使用。 代理认证(proxy authentication):由 HTTP 定义,这种机制可以阻止对内容的请求,直到用户向代理提供了有效的访问权限证书为止。 对受限内容的请求到达一台代理服务器时,代理服务器可以返回一个要求使用访问证书的 407 Proxy Authorization Required 状态码,以及一个用于描述怎样提供这些证书的 Proxy-Authenti
OAuth2.0中的安全漏洞及避免方法:使用OAuth2.01.0B协议实现
禅与计算机程序设计艺术
07-14 2214
作者:禅与计算机程序设计艺术 什么是 OAuth2.0? OAuth(Open Authorization)是一个开放授权标准协议,它允许第三方应用访问用户在某些网站上存储的私密信息,如照片、邮箱、联系方式等。OAuth 是建立在Oauth Core 1.0协议规范之上的一个子协议,该
python ip动态代理_python 中的代理设置问题
weixin_39932455的博客
12-02 315
2018-10-15 16:57:47 [scrapy.core.engine] INFO: Spider opened2018-10-15 16:57:47 [scrapy.extensions.logstats] INFO: Crawled 0 pages (at 0 pages/min), scraped 0 items (at 0 items/min)2018-10-15 16:57:47...
越权漏洞分享
Fighter1028
07-27 2637
1)风险描述: 越权访问,这类漏洞是指应用在检查授权(Authorization)时存在纰漏,使得攻击者在获得低权限用户帐后后,可以利用一些方式绕过权限检查,访问或者操作到原本无权访问的高权限功能。目前存在着两种越权操作类型:横向越权操作和纵向越权操作。前者指的是攻击者尝试访问与他拥有相同权限的用户的资源;而后者指的是一个低级别攻击者尝试访问高级别用户的资源。 2)风险验证 (1)输入正确的账...
HTTP代理原理以及HTTP隧道技术
至尊宝猴哥
02-16 1802
HTTP代理原理      通过HTTP协议与代理服务器建立连接,协议信令中包含要连接到的远程主机的IP和端口号,如果有需要身份验证的话还需要加上授权信息,服务器收到信令后首先进行身份验证,通过后便与远程主机建立连接,连接成功之后会返回给客户端200,表示验证通过,就这么简单,下面是具体的信令格式:CONNECT 124.xxx.xxx.xx:443 HTTP/1.1 //建立http隧道要443端
提示错误scrapy crawl myspider Scrapy 2.6.2 - no active project Unknown command: crawl Use "scrapy" to see available commands
03-25
这个错误提示表明Scrapy没有找到当前活动的项目,并且无法识别命令“crawl”。这可能是由于以下几个原因之一: 1. 您没有在Scrapy项目目录中运行“scrapy crawl”命令。确保您已切换到项目目录并运行该命令。 2. 您没有正确配置您的Scrapy项目。确保您已正确设置项目,包括项目名称和过滤器列表。 3. 您使用的版本不受支持。确保您使用的是支持版本的Scrapy。 尝试通过以下步骤解决此问题: 1. 确保您已切换到Scrapy项目目录中,然后运行“scrapy crawl myspider”命令。 2. 如果您没有正确配置项目,请执行以下操作: - 创建项目:在终端中输入“scrapy startproject myproject”(将项目名称替换为您的项目名称)。 - 打开“settings.py”文件并设置项目名称:在文件中添加“BOT_NAME = 'myproject'”行(将项目名称替换为您的项目名称)。 - 在“settings.py”文件中添加过滤器:在文件末尾添加以下行: SPIDER_MODULES = ['myproject.spiders'] NEWSPIDER_MODULE = 'myproject.spiders' 3. 确保您正在使用支持版本的Scrapy。目前,在Scrapy2.1及更高版本中支持“crawl”命令。如果您的版本过低,请尝试升级Scrapy

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值