通过Postman进行post请求时传递X-XSRF-TOKEN

最新推荐文章于 2024-05-27 21:38:00 发布
最新推荐文章于 2024-05-27 21:38:00 发布
阅读量2.1w 收藏 11
点赞数 3
分类专栏: laravel 常见问题
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lishanleilixin/article/details/82153350
版权

前言介绍

这段时间一个项目后端用的是laravel.在写api接口时通过Postman6进行测试.但是在测试post形式的接口时laravel自带了CSRF验证机制.这就很尴尬了...

所以我们的目的在使用Postman通過XSRF的验证,以測試POST的請求。还是以laravel为例子,Laravel会返回到浏览器的GET请求时将XSRF-TOKEN写在Cookie中.因此我们需要从Cookie中取到XSRF-TOKEN,并附在POST请求的header中传送出去.以达到绕过Laravel的CSRF验证.

 

 

安装Postman Interceptor(Chrome扩展功能)

使用Postman如果通过自己拼接url,自己造数据,是非常麻烦的。因此选择Postman+Postman interceptor,使用Postman interceptor可以拦截到网页请求,同时传到postman的history列表中,然后我们只需要在postman中修改一下url就可以直接send了。

Laravel通过chrome作为Interceptor來记录cookie,因此要先安裝postman在Chrome上的扩展程序。

下载地址:https://chrome.google.com/webstore/detail/postman-interceptor/aicmkgpgakddgnaphhhpliifpcfhicfo

嗯...浏览下载安装需要翻墙...

 

 

创建environment

我们打开Postman,点击页面右上角,进行设定环境.

新建evnironment

输入新建的environment名称,并按下"Add"

选择刚刚新建的environment

  

 

發送GET請求,以取得XSRF token

新建一个get请求,并在postman的test标签中加入下面代码:

pm.environment.set(
    "XSRF-TOKEN", //此為環境變數名稱
    decodeURIComponent(pm.cookies.get("XSRF-TOKEN"))
)

加入的这个代码会在请求服务器成功返回时执行,因此可以取得cookie,并存入postman的环境变量,用来在post请求时使用.

访问刚刚创建的get请求,点击send,检查XSRF token是否在环境变量中

 

 

POST附帶XSRF token 

Laravel预设要求post時需要HTTP header附帶XSRF token

以下是我测试的代码:

//web.php
Route::post('posttest', 'OperateController@postTest');


//OperateController.php
public function postTest(Request $request) {
    var_dump('post test');
}

新增POST标签,并在Header中增加XSRF token

格式是:{{"环境变量"}}:用來取得的环境变量值。

X-XSRF-TOKEN:{{XSRF-TOKEN}}

点击Send,成功打印

 

 

以上

如是说如是
关注
  • 3
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Web开发中的 XSS、CSRF/XSRF、CORS
weixin_45678031的博客
06-09 582
XSS 跨站脚本攻击 向正常网站的表单中注入恶意脚本代码,窃取网站私有内容,比如窃取cookies、localstorage、sessionstorage的内容。 防御策略 设置cookies为HttpOnly 使cookie不可被js读取操作。 CSRF/XSRF 跨站请求伪造 诱导用户在恶意网站内点击链接,链接请求正常网站的功能业务,会自动携带正常网站的cookies,在用户不知情的情况下完成一些操作。 防御策略 健强服务端逻辑,严格restful风格,可以防御一些低端的攻击。 利用请求头中的refe
postmanPOST请求参数包含参数list设置方式
08-19
Postman中,进行POST请求,我们常常需要传递各种类型的参数,包括简单的键值对、文件、甚至复杂的JSON对象。对于包含列表或数组的参数,Postman提供了灵活的设置方式。本文将详细讲解如何在Postman中设置POST...
为什么XSRF-TOKEN可以用于防止跨站请求伪造(CSRF或XSRF)攻击
程序缘
01-19 241
web安全
使用Postman发送请求(超详细)
最新发布
程序员二黑
05-27 2427
Post请求可以发送key-value、Json、file等格式的数据
Jmeter学习和一个关于jmeter获取X-XSRF-TOKEN的坑
weixin_56039103的博客
08-07 1630
所以整理之后的脚本进行合理的调整后应该长这样:其中的每个部件:(1)全局HTTP Cookie管理器(2)全局HTTP请求头(3)登录前置事务管理器、边界表达式提取器登录前置事务管理器边界表达式提取器(4)登录事务管理器、登录请求头、json提取器登录事务管理器登录请求头json提取器(5)业务事务管理器、业务请求头业务事务管理器业务请求头(6)结果树。
第二次爬虫实战--知乎
Chris Lee
04-27 1282
对于知乎的爬取已经进行了一段间了,这也是真正意义上的爬虫实战,在这段间学到了很多。在这片文章中想进行较详细的总结。 思路:对于社交网络的爬取,我们一般利用用户的关注人和粉丝人去进行遍历,而遍历到下一层的用户再去遍历这个用户的关注和粉丝列表,这样利用递归我们就能够爬取到大部分用户的信息。在我的代码中,我的主要思路是先把所有用户的ID放入一个列表,然后遍历这个列表再分别去收集每个用户的信息。那
【深入浅出 Spring Security(八)】前后端分离-使用CSRF漏洞保护详讲
qq_63691275的博客
06-11 3480
前后端分离使用 CSRF 漏洞保护,首先是得从 Cookie 中获取对应的 xsrf(即csrf)令牌信息,享受服务器端的服务需要在请求参数中或者请求头中配置这个令牌信息(这里请求方式不包括GET、HEAD、OPTIONS、TRACE,如果是这四个请求方式,过滤器会直接放行),请求参数中配置名为_csrf,值是令牌信息;请求头的话配置名是X-XSRF-TOKEN,值是令牌信息。这样在一定程度上就提高了系统的安全性,不刻意去搞的话,这种方式很大程度上防御了跨站请求伪造(CSRF)。
Postmanpostman-9.19.3-linux-x64.tar.gz)
06-02
Postmanpostman-9.19.3-linux-x64.tar.gz)适用于Linux x64位系统,Postman是一款强大网页调试工具的客户端,Postman为用户提供强大的 Web API & HTTP 请求调试功能。postman能够发送任何类型的HTTP 请求 (GET, ...
postman最新版 Postman-win64-9.20.3-Setup
06-15
- **请求构建器**:允许用户通过简单的拖拽或者手动输入方式创建各种HTTP请求,包括GET、POST、PUT等方法。 - **集合**:可以将相关的请求组织成集合,方便管理和重用,同支持团队间的协作。 - **环境**:允许...
Postmanpostman-9.10.1-linux-x64.tar.gz )
01-26
Postmanpostman-9.10.1-linux-x64.tar.gz 适用于Linux系统)是一种常用的接口测试工具,可以发送几乎所有类型的HTTP请求Postman适用于不同的操作系统,Postman Mac、Windows X32、Windows X64、Linux系统,还...
postman-linux-x64.tar.gz
09-14
The Postman app postman-linux-x64.tar.gz 官方 2022.09.14 下载 Linux 64 bit 因网络不方便, 下载官方版的放此 出处: https://www.postman.com/downloads/?utm_source=postman-home
cookie、session、token
abuanden的博客
03-26 450
一、常见验证方式 cookie:客户端使用 cookie直接认证,需要设置 cookie为 httpOnly,可以防止 xss攻击。但是无法防止 csrf攻击。需要设置伪随机数 X-XSRF-TOKEN。(推荐,不需要处理 xss,并且xsrf 随机数有完善的应用机制) 自定义请求token:客户端使用 auth授权头认证,token存储在 cookie中。这样可以防止 csrf攻击,但是需要防止xss攻击。,因为 csrf只能在请求中携带 cookie,而这里必须从 cookie中拿出相应的值并放到
tornado中的xsrf的使用
nbxuwentao的博客
06-16 1044
reference: https://www.cnblogs.com/paulwhw/articles/12021903.html tornado中使用xsrf 做做笔记
Laravel 学习之 XSRF-TOKEN 验证问题
weixin_33910434的博客
07-24 2013
近日在学习laravel,在写登录模块用ajax-post传递数据,一直报TokenMismatchException错误,后了解需要在html代码中添加如下代码 //<head>标签中添加如下 <meta name="csrf-token" content="{{ csrf_token()}}">代码 在发起a...
axios详细配置说明
yrfjygb的博客
03-01 2536
url: ‘/user’ url是将用于发送请求 method: ‘get’, 默认值 get 设置请求类型,get/post baseURL: ‘https://some-domain.com/api/’ 基本地址 ,发送请求的地址=baseURL+url transformRequest: [function (data, headers) {return data;}] transformRequest`允许在将请求数据发送到服务器之前对其进 行更改 仅适用于请求方法'PUT','POST
爬虫响应cookie案例:某区ZF
局外人LZ的博客
12-27 560
声明:该文章为学习使用,严禁用于商业用途和非法用途,违者后果自负,由此产生的一切后果均与作者无关。
Postman CSRF 配置
优秀的亮亮
06-25 3016
很多候,由于后端做了CSRF安全配置,测试接口,发送一些请求可能会比较麻烦,也需要对CSRF做相应的配置。 Postman 在每个接口发送请求之前会执行里的脚本,在发送请求之后会执行里的脚本。我们需要在请求发送之后,获取中的值,然后将这个值保存在集合变量域内。在下一次发送请求前,从集合变量域内取出的值,然后将这个值添加到请求头里。以此实现模拟前端的CSRF配置。之所以选择集合变量域,是因为经常将同一个项目站点的接口放在同一个集合下,这样可以保证同一个项目复用同一个c......
postman 使用x-www-from-urlencoded传参
06-09
是的,你可以在 Postman 中使用 x-www-form-urlencoded 格式来传递参数。这种格式会将参数编码为 URL 编码格式,并且通过 HTTP 请求的消息体来传递参数。 要在 Postman 中使用 x-www-form-urlencoded 格式,你需要在请求的 Headers 中设置 Content-Type 为 application/x-www-form-urlencoded。然后,在请求的 Body 中选择 x-www-form-urlencoded 格式,然后添加参数键值对。 请注意,使用 x-www-form-urlencoded 格式传递参数,参数是以键值对的形式传递的,例如: username=johndoe&password=123456 这样的格式可以方便地传递多个参数。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值