postman注入csrf

已于 2024-08-29 20:06:59 修改
阅读量282 收藏 3
点赞数 7
文章标签: postman csrf lua javascript
于 2024-08-29 19:59:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_69082030/article/details/141685759
版权

在这里插入图片描述
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

示例脚本

参数配置位置

在这里插入图片描述

在这里插入图片描述

必要参数

django项目仅需要设置domain即可,比如www.baidu.com,baidu.com尽量域名精确避免修改到其他域的参数
必须把这个domain添加到 cookies->Manage cookies ->Domains Allowlist 中,否则cookie的注入失败

在这里插入图片描述

代码

// 必须把这个domain添加到 cookies->Manage cookies ->Domains Allowlist 中,否则cookie的注入失败
var domain = pm.environment.get("domain") || pm.globals.get("domain");
// console.log("domain:",domain)

// 获取全局变量的csrf, csrf为任意64位字符串若不设置则使用默认
var csrf = pm.globals.get("csrf") || "0123456789012345678901234567890123456789012345678901234567891234";

// 若没有设置环境变量则取全局变量
var csrf_cookie_name = pm.environment.get("csrf_cookie_name") || pm.globals.get("csrf_cookie_name")
// 默认为django设置的名字为csrftoken
var default_csrf_cookie_name = "csrftoken"

if (csrf_cookie_name) {
    // 如果有csrf_cookie_name
    csrf_cookie_name = csrf_cookie_name;
} else {
    // 如果没有
    csrf_cookie_name = default_csrf_cookie_name;
}
// console.log("csrf_cookie_name:", csrf_cookie_name);

// 删除原来的csrf头
pm.request.removeHeader("X-CSRFToken");
// 添加header
pm.request.addHeader(`X-CSRFToken:${csrf}`);


//创建一个cookie容器
const cookieJar =pm.cookies.jar();

function sleep(ms) {
    return new Promise(resolve => setTimeout(resolve, ms));
}

function deleteCookie(domain, cookieName) {
    return new Promise((resolve, reject) => {
        //删除cookie中的cookieName,参数: url,cookieName,回调函数function(异常)
        cookieJar.unset(domain, cookieName, function (error) {
            // console.log(`删除 ${cookieName} cookies`);
            // console.log("error", error);
            if (error) {
                reject(error);
            } else {
                resolve();
            }
        });
    });
}

async function checkAndSetCookie(domain, cookieName, csrf) {
    // 睡眠10毫秒
    await sleep(10);

    // 查看 Cookie 是否存在
    cookieJar.get(domain, cookieName, function (error, cookie) {
        console.log("查看");
        console.log("cookie", cookie);
        // console.log("error", error);

        if (!cookie) {
            // 如果没有找到 Cookie,设置它
            console.log("未找到 Cookie,开始设置");
            cookieJar.set(domain, cookieName, csrf, function (error, cookie) {
                console.log(`设置 ${cookieName} Cookie 为 ${cookie}`);
                // console.log("cookie", cookie);
                // console.log("error", error);

                // 设置完成后再次调用检查函数
                checkAndSetCookie(domain, cookieName, csrf);
            });
        } else {
            // 如果找到 Cookie,输出成功信息
            console.log("Cookie 已存在,结束");
        }
    });
}

(async function() {
    try {
        // 首先删除 Cookie
        await deleteCookie(domain, csrf_cookie_name);
        // 然后开始检查和设置 Cookie
        checkAndSetCookie(domain, csrf_cookie_name, csrf);
    } catch (error) {
        console.error("删除 Cookie 失败:", error);
    }
})();
名难取aaa
关注
【Django】关于postman设置 csrf token
10相濡以沫
04-25 6088
文章目录 目前开发django,有csrf防护的存在,在使用postman测试的时候,登陆会出现403 forbidden. 需要在headers里面加入一个 “X-CSRFToken” 需要加入token 使用postman自动获取cookie中的csrftoken,并将该值自动设置到后续请求的header中。 为了自动化地设置这个token,需要使用postman的“Tests”功能。Post...
java-sec-code xss和csrf
weixin_44687621的博客
08-19 376
XSS漏洞 XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。 一般来说,只要将用户输入的数据不经任何处理就返回到前端,是极易产生XSS漏洞的。 反射型xss 为了让我们方便理解,作者这里没有使用其他花里胡哨的html页面 @RequestMapping("/reflect"
postman使用csrf token
qq_23903863的博客
03-25 5511
1、在请求Tests 加入如下代码: var csrf_token = postman.getResponseCookie("csrftoken").value postman.clearGlobalVariable("csrftoken"); postman.setGlobalVariable("csrftoken", csrf_token); pm.environment.get("va...
Postman CSRF 配置
优秀的亮亮
06-25 3094
很多时候,由于后端做了CSRF安全配置,测试接口时,发送一些请求可能会比较麻烦,也需要对CSRF做相应的配置。 Postman 在每个接口发送请求之前会执行里的脚本,在发送请求之后会执行里的脚本。我们需要在请求发送之后,获取中的值,然后将这个值保存在集合变量域内。在下一次发送请求前,从集合变量域内取出的值,然后将这个值添加到请求头里。以此实现模拟前端的CSRF配置。之所以选择集合变量域,是因为经常将同一个项目站点的接口放在同一个集合下,这样可以保证同一个项目复用同一个c......
Postman post csrf_token
anzhang5248的博客
09-03 1162
1、填入代码 var csrf_token = postman.getResponseCookie("csrftoken").value postman.clearGlobalVariable("csrftoken"); postman.setGlobalVariable("csrftoken", csrf_token); 2、查看全局变量 3、请求...
POSTMAN解决CSRF问题小技巧
09-01 2164
Postman使用小技巧
postman安全性测试
09-11
5. CSRF(跨站请求伪造)防护:验证 Postman 是否有效地防范 CSRF 攻击,确保只有合法的请求能够被处理。 6. 安全日志与审计:确保 Postman 能够生成并记录安全相关的日志,以供追踪和审计。包括请求日志、异常日志...
利用Postman进行安全性测试
## 1.1 什么是Postman Postman是一款功能强大的API开发和测试工具,它提供了一套可视化的界面,方便开发人员创建、发送和调试HTTP请求。Postman支持多种请求方法、参数传递方式和数据格式,使得测试接口变得更加...
Postman中如何处理认证和安全性测试
介绍Postman工具 ## 1.1 Postman工具概述 Postman是一款流行的API开发工具,旨在简化测试和开发API的过程。它提供了用户友好的界面,使开发人员可以轻松地构建、测试和调试API。Postman支持各种HTTP请求,如GET、...
通过Postman实现API安全测试:攻击和防御
# 1. API安全概述 ## 1.1 什么是API安全 API(Application Programming Interface,应用程序接口)安全是指保护应用程序接口不受恶意攻击和滥用的安全措施。API安全需要保障接口的机密性、完整性和可用性,确保...
解决Postman CSRF错误:清除旧Cookie
最新发布
Leon_Jinhai_Sun的博客
06-17 359
解决Postman CSRF错误:清除旧Cookie
【Spring Security】Postman调用时无授权与CSRF验证
锥栗的博客
05-16 1875
Spring Security 是一个强大的、高度可定制的 Java 安全框架,它为基于 Spring 的应用程序提供了全面的安全服务和解决方案。
Postman测试ODATA-CSRF token validation failed
xiefireworks的博客
05-03 4077
场景: 使用postman测试odata接口的post方法,报错CSRF令牌验证失败 解决方法: 将测试方法切换为get方法,增加Header参数x-csrt-token,值为Fetch,在接口返回Header中获取x-csrt-token值(不用管接口会不会报错),如下图 在调用post方法时将get接口返回的x-csrf-token参数及值加到Header参数中即可。 参考: x-csrf-token是一种CSRF攻击(跨站...
postman里带上CSRFToken来测试Django服务
10相濡以沫
10-24 988
文章目录 tests里输入脚本 var csrf_token = postman.getResponseCookie("csrftoken").value postman.clearGlobalVariable("csrftoken"); postman.setGlobalVariable("csrftoken", csrf_token); 然后在headers里加入 X-CSRFToken ...
如何使用postman带Token测试接口?
热门推荐
张超博客
03-06 14万+
首先打开postman、是这样的界面我们的需求是这样的、实现登录之后返回token、然后请求其他接口时在header头中带上token信息、OK、接下来我们这样操作:现在登录没有操作token、只是接口给我们返回了token值、我们需要把这个token放到一个全局变量、以后每次操作的时候、带上token即可、新建一个全局变量:ok、关闭之后、接着测试接口var data = JSON.parse(...
通过Postman进行post请求时传递X-XSRF-TOKEN
如是说的博客
08-28 2万+
前言介绍 这段时间一个项目后端用的是laravel.在写api接口时通过Postman6进行测试.但是在测试post形式的接口时laravel自带了CSRF验证机制.这就很尴尬了... 所以我们的目的在使用Postman通過XSRF的验证,以測試POST的請求。还是以laravel为例子,Laravel会返回到浏览器的GET请求时将XSRF-TOKEN写在Cookie中.因此我们需要从Cook...
【laravel】postman测试遇到csrf校验怎么办?
echo的PHP开发
03-17 1713
因为laravel有csrf校验,使用postman测试,,访问一直报错,419 | Page Expired,如下 解决方法有下: 一、CSRF 白名单 在这个文件下增加请求地址。 二、测试时,一次解决的方法 注:仅测试时开启 如图,kernal.php文件注释这一行,关掉csrf中间件。 以上操作后,再次进行测试,成功了~ ...
Postman解决token传参问题
ruanhao1203的专栏
01-18 5万+
问题描述: 有一个登陆接口获取token,其他接口再次访问都要带上token解决方案: 1、在登陆接口访问后设置Postman的环境变量(Environment),例如设置环境变量名:token,值为登陆接口访问成功后,在responseBody中的token值,如何设置请看下面具体描述。 2、访问其他接口时token值直接读取变量即可。Postman里面获取变量的语法为:{{变量名}}具体步骤:
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值