20241202日某红书PC协议分析x-s-common,x-t访问频次异常,请勿频繁操作或重启试试

最新推荐文章于 2025-03-24 13:56:38 发布
最新推荐文章于 2025-03-24 13:56:38 发布
阅读量1.7k 收藏 6
点赞数 4
文章标签: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_60289208/article/details/144181921
版权

免责声明:
本文章仅供学习交流使用,请勿将其中内容用于任何非法用途。

请求头的加密参数分析

在分析请求时,发现请求头中的加密参数较为简单,但需要对环境进行调试和分析(即“补环境”),同时对 webpack 进行逆向处理。如果对这些步骤不熟悉,可以先查阅相关的“补环境”文章进行学习。

访问频次异常的分析与应对

在一次实际操作中,我收到一位朋友的请求,帮忙采集文章评论内容。
准备好软件后,我开始了采集任务,具体情况如下:

  1. 采集环境:

    • 本地执行,10线程运行,无压力。

  2. 采集结果:

    • 在 10 分钟内,成功处理了约 1000 个链接。
    • 随后,开始出现以下提示:

      访问频次异常,请勿频繁操作或重启试试。

  3. 初步应对:

    • 尝试更换 IP、账号以及设备后,仍然出现相同的提示。
    • 更换为另一批新的 URL 后,采集任务能够正常进行。

问题定位与猜测

经过以上尝试,可以初步判断:

  • 问题可能与这批 URL 的访问次数有关。
  • 猜测 1: 单个账号对该批文章的访问次数达到一定阈值后,会触发风控。
  • 猜测 2: 服务端可能通过请求参数(如 xsec_token)加密并标识访问者的唯一身份(如 uid)。

通过观察发现,在等待几个小时后,原有的 URL 又可以正常访问,这表明风控可能是临时性的。

解决方案与优化建议

为了避免触发类似风控机制,可以采取以下措施:

  1. 准备多个账号: 在采集任务中,尽量使用不同账号交替采集。
  2. 优化采集策略:
    • 减少对同一批 URL 的频繁访问。
    • 为每个账号设置合理的访问频次,尽量模拟人工操作的间隔。
  3. 多样化环境:
    • 通过更换 IP 和设备来分散访问来源,降低单一 IP 被风控的风险。

希望以上分析和建议对您有所帮助!如需进一步优化方案,可结合具体场景进行调整。

qqq413104200
关注
x-s、x-s-common参数分析与纯算法还原
吴秋霖的博客
11-14 2万+
xhs参数研究与分析(仅供学习参考)
【2024-06-03】某X-s分析
不愿意透露姓名的网友
06-03 1906
看看西柿。
从零开始:Python爬取小薯用户笔记的完整实战(2024.12.31)
weixin_74305707的博客
11-28 1万+
本文将为你详细介绍一套Python 实现 的小爬虫思路,包括在抓包时发现的接口信息、必需的加密参数生成、Cookies 的获取和切换、数据的抓取与持久化、图片下载等环节。 最终,你可以通过该示例一次性爬取多个用户的笔记列表和详情信息,并将数据存储到 CSV 文件,还能根据需求把笔记中的图片也一起下载到本地。
账号异常被限制登录是什么原因?
2401_86099228的博客
07-06 6293
2024年正好到了小的一个爆发期,小已经培养了一批优质用户,会主动来到平台上搜索自己的需求,今年开始培养用户的消费需求,基本上小的闭环短则半年少则两年就完成了,所以今年是入驻小消费电商的好时机。要是你的账号有些安全问题,比如密码太简单别人一猜就能猜到,者绑定的手机号已经不能用了,再者绑定的邮箱根本不存在,这些情况都可能让小平台觉得你的账号不太安全,然后就不让你登录了。有时候,如果你的网速慢吞吞的,者网络连接老是断断续续的,那也会导致你登录小的时候出现问题,登录不上去。
web x-s x-t X-Mns 分析
最新发布
ff2766958292的博客
03-24 1210
x-s、x-t、小、x-mns
解密小详情API接口:获取与运用
API_Zevin的博客
11-15 3234
API(应用程序编程接口)是一种定义良好的协议,用于不同软件应用程序之间的通信。通过API接口,开发者可以获取、创建、更新删除特定应用程序中的数据。小开放平台提供了丰富的API接口,允许开发者通过调用接口获取平台上的内容数据。通过该API,开发者可以实时获取数据,帮助分析用户行为和兴趣,从而优化业务策略营销活动。小笔记详情API接口是一个强大的工具,可以帮助开发者企业高效、合法地获取小上的内容数据。
使用Python爬取小笔记与评论(仅供学习与参考)
热门推荐
吴秋霖的博客
01-12 2万+
通过调用浏览器内核,注入JS的方式来获取x-s、x-s-common!免除扣取加密算法抓取数据进行分析
测试网址测试
2401_86612040的博客
08-03 962
https://www.xiaohongshu.com/discovery/item/66ab6ee8000000002701ee49?app_platform=android&ignoreEngage=true&app_version=8.40.0&share_from_user_hidden=true&xsec_source=app_share&type=video&xsec_token=CBmXHRzC-a_Oag3kWGXFxAjkSKf3d0IfpLDMYLlkfYtzw=&author_shar
CSRF的攻击与防御
Java/Android/IOS/前端/云计算
10-22 3007
发布时间:2012年08月28 分享 推荐打印收藏 CSRF是Web应用程序的一种常见漏洞,其攻击特性是危害性大但非常隐蔽,尤其是在大量Web 2.0技术的应用背景下,攻击者完全可以在用户毫无察觉的情况下发起CSRF攻击。本文将对其基本特性、攻击原理、攻击分类、检测方法及防范手段做一个系统的阐述,并列举攻击实例。 文/H3C攻防团队 1 
x-s加密算法补环境版本(当前可用,8.28更新)
08-30
x-s算法纯js补环境版本。 使用python execjs调用js实现,内含完整接口调用Demo。 zip包内是某的补环境版本x-s参数的加密生成算法,独立JS文件,提供完整可用的调用测试示例,有问题可以联系作者。
某red最新版x-s、x-s-common(下)
m0_46639364的博客
09-11 1741
我比较懒,就拿到了调换后的数组替换进去了,其它就没什么了,到这里就能拿到encrypt_encodeUtf8返回的大数组。还是缺啥抠啥的逻辑,需要注意的是a0_0x4562函数中有个大数组,这个数组会在其它函数中做处理,位置会调换。这里要注意了,断点是断在第二个x-s-common,上面的那个以及什么v.x8啊v.x9啊,那都不是我们要的代码,不要被误导了。x6是从headers中取的X-t,也就是时间戳,这个要注意,请求的时候要统一一下,首先x9,断点断在encrypt_mcr,然后跳进去,单步执行。
某red最新版x-s、x-s-common(上)
m0_46639364的博客
09-10 1562
重复几次操作你会发现,在进入下面这个代码之后参数就生成了。没关系,既然可以通过window调用,说明加密函数最终赋值给了全局window,那么我们只需要依葫芦画瓢,把整个js文件代码拷出,补上所需环境,再试着执行window._webmsxyw看是否有被赋值即可。进入p(d.fulfilled),在return处打上断点,跳过来,然后就一直按F8去跳,跳个几次吧(没数),会发现参数竟然加上了。异步调试技巧:看到.then,并且此时加密参数还未生成,可以点进.then第一个参数(函数),打上断点看运行情况。
最新小x-s加密算法补环境版本(8.8更新,已失效主页取最新)
08-18
x-s算法纯js补环境版本。 使用python execjs调用js实现,内含完整接口调用Demo。 zip包内是小的补环境版本x-s参数的加密生成算法,独立JS文件,提供完整可用的调用测试示例,有问题可以联系作者。
获取抖音中x-secsdk-csrf-token的方法
sh_moranliunian的博客
11-27 1119
获取抖音中x-secsdk-csrf-token的方法
笔记详情API入门指南
apixixi的博客
02-29 1181
这对于内容分析、数据挖掘等任务非常有用。请求通常使用HTTPS GETPOST方法,需要携带必要的请求参数,如。以下是一个使用Python和。
【2020-11-04】JS逆向之某宝模拟登入
骑毛驴的猴的博客
11-04 6718
文章目录前言一、页面分析二、参数来源三、参数破解四、扣源码吧五、运行调试六、请求源码 前言 某宝登入接口:https://login.taobao.com/ 一、页面分析 二、参数来源 loginId:输入的手机号 password2:加密的登入密码 ua:根据user-agent生成,可以直接拿来用 _csrf_token:从进入网页的源码中获取 umidToken:从进入网页的源码中获取 hsiz:从进入网页的源码中获取 三、参数破解 我们了解到参数来源后,需要解决的就是passw.
笔记搜索接口Api数据
qq_2671517833的博客
01-04 177
【代码】小笔记搜索接口Api数据。
逆向实战31——xhs—xs算法分析
有什么问题回复不及时,可以私聊我。也可以加我的星球:知识爬行者
02-27 2076
这里江夏在星球也写了一份文章,底部有代码 感兴趣的可以看看无论是补环境还是硬扣算法。其实都阔以得到正常结果。不同的是运行速度以及花费的精力的成本不同。选择什么样的方法最后还是靠自己。最后运行。两者都能得到结果公众号链接星球链接。
c# 通过webView2模拟登陆小网页版,解析无水印视频图片,以及解决X-s,X-t签名验证【2023年4月29
byc6352的专栏
04-15 9247
c# 通过webView2模拟登陆小网页版,解析无水印视频图片,以及解决X-s,X-t签名验证。期:2023-4-29
xsec_token
01-10
### 关于 `xsec_token` 的定义、用途、生成方式及其使用场景 #### 定义 `xsec_token` 是一种安全令牌,在特定的应用程序接口(APIs)调用过程中用于验证请求的身份合法性。这种令牌通常由服务器端签发给客户端应用,作为后续交互的安全凭证。 #### 用途 该令牌主要用于保护 API 接口免受未授权访问的影响。通过携带有效的 `xsec_token` ,可以确保每次 HTTP 请求都来自合法的用户服务提供商[^1]。 #### 如何生成 对于像小这样的平台来说,获取 `xsec_token` 可能涉及以下几个方面: - **注册开发者账号**:首先需要成为官方认可的开发合作伙伴。 - **创建应用程序**:登录到相应的开发者中心创建一个新的应用项目。 - **配置回调地址和其他设置**:按照指引完成必要的配置选项。 - **申请权限范围内的 token** :提交审核并通过后即可获得初始的 access token 者 refresh token 来换取最新的 `xsec_token`。 具体实现上可能会有差异,建议查阅最新版本的小开放平台指南来获取详细的流程说明。 ```python import requests def get_xsec_token(api_key, secret_key): url = "https://api.xiaohongshu.com/oauth/token" payload = { 'grant_type': 'client_credentials', 'client_id': api_key, 'client_secret': secret_key } response = requests.post(url, data=payload) json_response = response.json() if 'access_token' in json_response: return json_response['access_token'] else: raise Exception('Failed to obtain xsec_token') ``` #### 使用场景 当涉及到敏感数据的操作时,比如读取用户的私人笔记内容是执行修改操作,则必须附带有效的 `xsec_token` 。这有助于防止恶意第三方伪造身份发起攻击行为,保障了系统的安全性与稳定性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值