爬虫请求头遇见了X-CSRF-Token和c-token如何解决

最新推荐文章于 2024-06-05 09:34:58 发布
最新推荐文章于 2024-06-05 09:34:58 发布
阅读量2.1w 收藏 15
点赞数 12
分类专栏: 爬虫
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39138295/article/details/89888787
版权

如果遇见了,大多都是对token的加密。

今天遇见了这样一个网站:

想要获取验证码图片。抓包获取之后:

requests.post()请求啊,但是请求之后一直在被网站拒绝,一直在报403.。

后来回头重新看,才发现请求头中是有X-CSRF-Token和c-token来识别身份的。

这个网站比较简单,这两个值是一样的。

然后就找这两值所在的界面嘛。

全局搜索之后,发现这个是明文传输的,如下:

那用requests中的

Session来进行会话保持,获取这个值,在访问图片的链接时,加进去即可。

这是最简单的token加密形式了。

代码如下:

import requests
import base64
import json
import re
import urllib3
urllib3.disable_warnings(urllib3.exceptions.InsecureRequestWarning)

def get_image():
    s = requests.Session()
    url1 = '*******************'
    headers1 = {'Accept': 'text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3', 'Accept-Encoding': 'gzip, deflate, br', 'Accept-Language': 'zh-CN,zh;q=0.9', 'Cache-Control': 'max-age=0', 'Connection': 'keep-alive', 'Host': 'wsswj.hb-n-tax.gov.cn', 'Referer': 'https://www.google.com/', 'Upgrade-Insecure-Requests': '1', 'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/73.0.3683.103 Safari/537.36'}
    res1 = s.get(url1,headers=headers1).text
    c_token = re.findall('var csrfPreventionSalt = "(.*?)";',res1)[0]
    print(c_token)

    headers2 = {
        'Accept': '*/*',
        'Accept-Encoding': 'gzip, deflate, br',
        'Accept-Language': 'zh-CN,zh;q=0.9',
        'Connection': 'keep-alive',
        'Content-Length':'0',
        'Host': 'wsswj.hb-n-tax.gov.cn',
        'Origin': 'https://wsswj.hb-n-tax.gov.cn',
        'Referer': 'https://wsswj.hb-n-tax.gov.cn/portal/',
        'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/73.0.3683.103 Safari/537.36',
        'X-CSRF-Token': c_token,
        'X-Requested-With': 'XMLHttpRequest',
        'c-token': c_token,
    }

    url2 = '*********************'
    resp = s.post(url=url2,headers=headers2,verify=False)

    img = base64.b64decode(json.loads(resp.text)["repData"]['image'])

    filename  = 'template.jpg'
    with open('./image/'+filename,'wb') as f:
        f.write(img)
        print('下载完成')

get_image()

多说一句,我在没有加上X-CSRF-Token和c-token的时候,一直报的403,也就是服务器端判别了我是属于非正常请求头的,所以说,服务器对这个是有一个验证识别机制的。

 

回忆不说话
关注
  • 12
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Python每日一练(19)-通过爬虫实现GitHub网页的模拟登录
12-20
# 发送GET请求获取登录页面的CSRF token session = requests.Session() response = session.get(login_url) soup = BeautifulSoup(response.text, 'html.parser') csrf_token = soup.find('meta', attrs={'name': '...
python爬虫请求—post
05-11
在实际应用中,可能会遇到登录过程中需要处理的验证码、动态令牌(如CSRF Token)等问题,这需要更复杂的策略,比如使用`BeautifulSoup`库解析页面、`Selenium`库进行自动化浏览器操作等。 以上就是使用Python的`...
X-CSRF-Token
热门推荐
01-24 1万+
Odata服务HTTP测试总是出现烦人的 CSRF token validation failed (for all modifying requests)忽略下图中的报文错误 怀疑是服务器参数的设置问题,临时应急的话可以先针对这个服务把CSRF校验关掉 SICF找到这个服务 增加一个参数 Modifying request的CSRF这样的工作的: 用一个非修改(non-m...
cookie,session、中间件、csrf认证相关【补充】
m0_71292438的博客
12-05 342
request 是WSGIRequest 的对象# print(request.session) # 一定要保证,session的中间件要在上面# 这个request 就是当次请求的request# 取出ipprint(ip)# return HttpResponse('不让你看了') # 不会再走视图函数了'''能返回的情况:1 None,表示执行完这个代码,继续往后执行---》还有中间件,继续执行--》最后进视图函数。
44.vue-element-admin在header里增加X-CSRFToken
最新发布
智盟科技智能制造团队的博客
06-05 266
是一种安全机制,用于跨站请求伪造保护。在Vue.js项目中,可能使用了Django框架,而Django要求所有的POST请求携带一个CSRF token来验证请求的合法性。
爬虫响应cookie案例:某区ZF
局外人LZ的博客
12-27 562
声明:该文章为学习使用,严禁用于商业用途和非法用途,违者后果自负,由此产生的一切后果均与作者无关。
SAP OData 403 Forbidden X-CSRF-TOKEN
Wriprin 的技术博客
10-24 1349
SAP OData 403 Forbidden「X-CSRF-TOKEN」 Validierung des CSRF-Tokens fehlgeschlagen CSRF 令牌验证失败
CSRF的攻击与防御
Java/Android/IOS/前端/云计算
10-22 2781
发布时间:2012年08月28日 分享 推荐打印收藏 CSRF是Web应用程序的一种常见漏洞,其攻击特性是危害性大但非常隐蔽,尤其是在大量Web 2.0技术的应用背景下,攻击者完全可以在用户毫无察觉的情况下发起CSRF攻击。本文将对其基本特性、攻击原理、攻击分类、检测方法及防范手段做一个系统的阐述,并列举攻击实例。 文/H3C攻防团队 1 
Laravel(在前后端分离时,存在跨域时)的api(只在post请求时)如何验证X-CSRF-TOKEN
fyonecon
11-05 3507
参考1:https://segmentfault.com/q/1010000003038534《aravel 在做api接口的时候如何验证 X-CSRF-TOKEN》 参考2:https://laravel-china.org/docs/laravel/5.4/csrf/1228#CSRF- 《Laravel 下的伪造跨站请求保护 CSRF》 Laravel版本:55 写api时...
解决CSRF Failed: CSRF token from the ‘X-Csrftoken‘ HTTP header has incorrect length的错误
m0_66119504的博客
02-25 928
在settings.py文件中加入。浏览器中的csrftoken
抖音扫码登录
qq_53593099的博客
04-15 868
登录相关的参数之前的文章也有提过,大家可以去看看那些参数的加密流程。
Python 爬虫模拟登陆知乎
12-25
在之前写过一篇使用python爬虫爬取电影天堂资源的文章,重点是如何解析页面和提高爬虫的效率。由于电影天堂上的资源获取权限是所有人都一样的,所以不需要进行登录验证操作,写完那篇文章后又花了些时间研究了一下...
最新巨量算数(X-Bogus、-signature、msToken)参数加密分析结果(1.0.0.22)
10-09
最新(X-Bogus、_signature、msToken)参数加密分析结果。文件内包含完整的JS加密混淆算法文件与Python调用生成加密参数的脚本
Web开发-修改网站会员登录密码-Python源码示例.zip
12-13
Python以其简洁、易读的语法和丰富的库支持,在Web开发领域广泛应用,尤其是在自动化、数据分析、游戏开发和网络爬虫等方面。 在Python中,处理Web应用通常涉及到使用Web框架,如Django、Flask等。这里我们可能用到...
丢失的最小正整数leetcode-Code-Grab-from-Leetcode:leetcodeac解决方案和所有主题的简单爬虫。有关更多信
06-30
解决方案的简单爬虫 如果要使用此代码,则应修改以下代码。 填写您自己的“用户名”和“密码”。 def login (): url = "https://leetcode.com/accounts/login/" res = s . get ( url = url , headers = headers_...
cookie和set-cookie的区别及token
z2768557792的博客
06-12 8118
请求头中的cookie和响应头的set-cookie的关系 Set-Cookie中的属性Domain限定给域下设置ctoken,然后现在页面所在域却是natapp.cc,所以有ctoken,此网络没有ctoken值,这就造成通过前端使用方法获取不到ctoken值。网络请求中的cookie与set-Cookie的交互模式和作用:1、当很多人访问统一网络服务器,服务器如何区分不同的用户sessionid,sessionid保证了浏览器和服务器唯一性的通信凭证号码,session保存在服务器上,sessionid
python token post403原因_Python Post遇到csrftoken问题
weixin_39644021的博客
12-05 496
用户:真不知道为什么要用户名2014年10月05日我上次在用django的时候遇到过这个问题,资料如下:django对POST请求需要csrf_token验证,后端会检测前端发过来的token,如果有问题可以会出现403Forbidden的错误。这个token是由后端在页面GET请求页面文件的时候就放进去的,可以在模板中使用{% csrf_token %},例如表单的POST请求就可以这个做,会生...
python requests请求带有csrf-token的网站,比如使用Django搭建的网站
水月灯花的博客
05-15 7920
1、post请求原理 在使用Python中的request模块的post请求时,由于网站开启了csrf跨站请求攻击,会出现403错误,因为我们在使用post的时候没有携带csrf数据去验证,网站会不认可我们,因此我们需要第一次的时候使用get请求,然后使用re正则匹配到这个csrf-token命令,取出来这个命令,然后在使用post发送请求,在请求中的数据中添加csrf的键值对,然后就可以使用post访问到网上了,并且也可以post请求携带数据。 2、操作方式 就是先访问一次登录页,然后从登录页中查找
4-3csrf token详解以及常见的防范措施
山兔的博客
07-10 5853
CSRF(post)实验演示和解析  Anti CSRF token  常见CSRF防范措施CSRF的主要问题是敏感操作的链接容易被伪造,那么如何让这个链接不容易被伪造? -每次请求,都增加一个随机码(长度要够,需要够随机,不容易伪造),后台每次对这个随机码进行验证!就是这个token值Ant上CSRFtoken)项目的token生成代码:当我们每次请求修改页面的时候,后台会先去调用一个函数,在实际的系统里面,会写的更复杂一点,当我们去请求页面的时候,后台会去查一下session里面,有没有tok
csrf-token反爬
11-10
CSRF(Cross-site request forgery)跨站请求伪造是一种常见的Web攻击方式,攻击者通过伪造用户请求来执行非法操作,而CSRF-Token是一种防范CSRF攻击的方式。在Web应用中,服务器会生成一个随机的Token并返回给客户端,客户端在提交请求时需要将这个Token一并提交给服务器,服务器会验证Token的有效性,如果Token无效则拒绝请求。这样就可以防止攻击者伪造请求,保护Web应用的安全。 在反爬虫中,有些网站会使用CSRF-Token来防止爬虫程序的访问。爬虫程序需要在请求中携带正确的Token才能通过验证,否则会被服务器拒绝。因此,如果想要爬取这些网站的数据,就需要先获取正确的Token,并在请求中正确携带Token。 下面是一个获取Token并使用Token进行请求的Python示例代码: ```python import requests # 获取Token response = requests.get('https://example.com/get_token') token = response.json()['token'] # 使用Token进行请求 headers = {'X-CSRF-Token': token} response = requests.post('https://example.com/submit_data', headers=headers, data={'key': 'value'}) ``` 在这个示例中,我们首先发送一个GET请求获取Token,然后将Token存储在变量中。接着,我们使用Token进行POST请求,将Token添加到请求头中,然后发送请求并携带数据。如果Token有效,则服务器会接受请求并返回相应的数据。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值