数据抓取之反爬虫规则:CSRF防御处理及异步请求处理

最新推荐文章于 2024-07-09 11:06:28 发布
最新推荐文章于 2024-07-09 11:06:28 发布
阅读量6.7k 收藏 6
点赞数
分类专栏: java 数据抓取 文章标签: 爬虫 数据
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mooyinn/article/details/50339173
版权

同事在做数据抓取的时候,发现该提交的参数都提交了,但是返回的数据总是提醒“非法的请求或者超时”;我拿过来检查了半天也没见查出问题,无奈对比了下这个页面和另外一个页面的http头信息,端倪出来了,这页面http头信息多了个X-CSRF-Token的参数。这是什么东东,没见过,于是谷歌科普了一下。

简介

简单来说:CSRF全称:Cross-site request forgery,中文翻译为跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用

那么很多网站为了应对这种请求,会采取防御措施,一般采取的措施是采取token校验,比如返回给页面A的时候会生成一个token值,然后你在A界面请求界面B的时候,如果同时提交token值并且值正确的话,就当作是正常的请求进行处理。否则则认为当前请求不正常,返回错误页面。

应对方式

其实针对上述防御措施,想办法拿到token一同提交就好了,以某网站为例子:
- 比如我用httpclient先获取A页面,A页面内容如下(部分有删减)

    <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
    <html>
    <head>

    <meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
    <meta name="_csrf_parameter" content="_csrf" /><meta name="_csrf_header" content="X-CSRF-TOKEN" /><meta name="_csrf" content="c385ce66-e97e-48aa-83eb-1f76a0942971" />

    <link href="/skin/css/public3.css" type="text/css" rel="stylesheet" />
    <script type="text/javascript" src="/skin/js/jquery-1.9.1.min.js"></script>
    <script type="text/javascript" src="/skin/js/gs/utils.js" ></script>
    <script type="text/javascript" src="/skin/js/gs/gsgs.js" ></script>
    <script type="text/javascript" src="/skin/js/gs/gsjyyc.js" ></script>
    ....省略

  • 从A页面获取csrf token值:c385ce66-e97e-48aa-83eb-1f76a0942971,请求B地址的时候加入在请求头信息header中加入token值即可,代码如下:

    httppost.addHeader( “X-CSRF-Token”,”c385ce66-e97e-48aa-83eb-1f76a0942971”);

异步请求处理

针对异步请求处理,需要在http头信息做简单处理即可:

httppost.addHeader("X-Requested-With", "XMLHttpRequest");

欢迎去我的个人站点查看文章
或者,欢迎关注俺的微信订阅号,每天一篇小笔记,每天提高一点点:

公众号:enilu123
 这里写图片描述

eniluzt
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
LintCode网址登陆反爬虫CSRF禁止访问
h249139571的博客
04-29 765
lintcode是一个非常流行的在线编程网站,今天在用python爬虫登陆进行模拟时,发现以下问题:经过了解:CSRF全称:Cross-site request forgery,中文翻译为跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF因此在访问时,需要拿到这个CSRF-token值,并把这个token加入消息头和cooki...
简解:CSRF的原理及防御
04-06
简解:CSRF的原理及防御
[爬虫]字节跳动招聘爬取实战-csrf校验
热门推荐
小小明-代码实体的专栏
01-07 7万+
作者:小小明 Pandas数据处理专家,帮助一万用户解决数据处理难题。 今天我们打算爬取一下字节跳动的招聘信息: 我们打开开发者工具并访问: https://jobs.bytedance.com/experienced/position?keywords=&category=&location=&project=&type=&job_hot_flag=&current=1&limit=10 这次访问监控到的数据很多,其中这个posts接口才有我们.
爬虫】Python实现,模拟天眼查登录验证获取token
最新发布
扶摇直上
07-09 1403
注:本程序测试时期:2024.7.9,稳定可用天眼查登录接口升级更新之后,后台接口login接口登录运用了4代极验gt,js逆向部分相当复杂。不建议走js逆向接口登录。建议通过selenium自动化破解验证码登录,成功获取token,也同样可以完成稳定持续性爬虫
『python爬虫』formhash 与 跨站请求伪造(CSRF)攻击
MZH
03-10 1023
『python爬虫』formhash 与 跨站请求伪造(CSRF)攻击
爬虫实战:csrf问题,dataframe存储到MongoDB
或左的博客
04-13 625
本文主要爬虫爬取过程中遇到csrf的问题,以及如何将表格数据保存到MongoDB数据库。 爬取目标 目标url:https://www.ctic.org/crm/?action=result 如上图选项,点击view summary,则到了下面的界面, 这里我们就是爬取这个表格,不过是1989年到2011年的表格。 CSRF 在爬取https://www.ctic.org/crm?tdsour...
简书爬ajax接口获取csrf,python3爬虫项目实战(二)ajax请求爬取网站图片
weixin_35926197的博客
08-06 324
这次的项目是利用ajax来对网站图片进行爬取。Ajax的作用就是在保证页面不被刷新的情况下,与服务器交换数据从而只更新部分网页的技术。这里不多讲述ajax技术,先给出网页,来具体分析。https://www.toutiao.com/这个是头条的网站,我们在搜索框输入“街拍”二字,点击搜索,就可以进入到搜索界面,按一下F12就可以进入检查模式,在这个模式下,我们点击Network选项卡,选择XHR后...
spring security中的csrf防御原理(跨域请求伪造)
08-25
处理这些请求的服务器端,Spring Security会自动检查并验证提交的CSRF Token,如果验证失败,请求会被拒绝,从而防止CSRF攻击。 总之,Spring Security通过生成和验证CSRF Token,有效地防止了跨域请求伪造攻击,...
信息安全技术:CSRF防御编程.pptx
11-01
【信息安全技术:防御CSRF攻击】\n\nCSRF(Cross-Site Request Forgery,跨站请求伪造)是一种网络攻击方式,它利用了用户已经登录的状态,使得攻击者能够以用户的名义执行非预期的操作。这种攻击往往在用户无意识的...
前端大数据导入,异步处理
04-28
这个过程涉及到了前端技术的多个方面,包括文件读取、数据处理、异步通信等。下面将详细阐述这些关键知识点。 首先,前端读取Excel文件是通过HTML5的File API来实现的。FileReader接口提供了读取文件的能力,用户...
从开发角度浅谈CSRF攻击及防御
02-25
看到这个名字,很明显是发送GET请求导致的。我这里简单的说一下:GET型的CSRF利用非常简单,通常只要发送一段HTTP请求。简单的说,如果一个网站某个地方的功能,比如(用户修改自己邮箱)是通过GET进行请求修改的话。/...
爬虫python爬取页面请求_python xsrfpython爬虫如何爬取get请求的页面数据?(附代码)...
weixin_39862985的博客
11-29 150
本篇文章给大家带来的内容是关于python爬虫如何爬取get请求的页面数据(附代码),有一定的参考价值,有需要的朋友可以参考一下,希望对你有所帮助。一.urllib库urllib是Python自带的一个用于爬虫的库,其主要作用就是可以通过代码模拟浏览器发送请求。其常被用到的子模块在Python3中的为urllib.request和urllib.parse,在Python2中是urllib和urll...
Java 关于爬取网站数据遇到csrf-token的分析与解决
DOBEONE玉苑的博客
03-24 6546
问题描述 在爬取某网站的时候遇到了问题,因为网站的避免CSRF攻击机制,无法获取到目标页面数据,而是跳转到一个默认页面。 关于CSRF 1、CSRF tokens是如何工作(详情请点击查引用源站点) 1、服务器发送给客户端一个token。 2、客户端提交的表单中带着这个token。 3、如果这个token不合法,那么服务器拒绝这个请求。 2、java 站点应对CS...
【笔记】Python3|爬虫请求 CSRF-Token 时如何获取TokenToken过期、处理 CSRF-Token 需要注意的问题及示例
qq_46106285的博客
03-19 8132
注意CSRF-Token可能也在响应头中,以及requests请求的时候要用Session,不然就会过期。
爬虫登录Django, scrf拦截, token验证, scrapy模拟登录
vb112479
09-20 1681
思路:在登录页面获取令牌,发送发帖,附带上已获取的令牌 参考:https:  //www.jianshu.com/p/d73e971da41c import requests from lxml import etree headers = { 'User-Agent': 'Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWe\ ...
csrf_token跨站请求伪造和保护验证
weixin_40105587的博客
03-09 2324
伪造:其实请求伪造是客户端发的 恶意网站不需要客户端的访问记录保护:(使用POST请求方式 , 本质是在请求的参数上加上随机字符串进行混淆)1 .当客户端请求服务器 服务器端根据 secret_key 生成一个随机的token  服务器会把这个token 写到返回的cookie里 键为csrftoken 其值为自动生成的token     2 在所有的POST表单中 服务器会自动帮帮我们生成一个隐...
NodeJS爬虫初探
cvchihzhza的博客
06-03 550
思路:       获取HTML字符串,将其转化为DOM,提取相应的文本信息使用到了以下方法或库 var https = require('https'); //这里使用的是https协议,可视具体情况换为http协议 var fs = require("fs") var cheerio = require('cheerio') 1. 获取HTML function getHTML(URL, c...
网络爬虫基础-异步爬虫
weixin_39281866的博客
10-26 474
异步爬虫 目的:在爬虫中使用异步实现高性能数据爬取 异步爬虫的方式: 多线程/多进程(不建议) 优点:可以为相关阻塞的操作,单独开启线程或进程,阻塞操作可以异步执行。 弊端:无法无限制地开启多线程或者多进程:在遇到要同时处理成百上千个的连接请求时,则无论多线程还是多进程都会严重占据系统资源,降低系统对外界响应效率,而且线程与进程本身也更容易进入假死状态。 线程池/进程池(适量使用) 优点:降低系统对进程和线程创建和销毁的一个频率,从而很好地降低系统的开销。 弊端:池中线程或进程的数量是有上限的。当阻
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值