爬虫响应cookie案例:某区ZF

已于 2024-04-21 19:11:29 修改
阅读量596 收藏 6
点赞数 8
分类专栏: python 爬虫案例集锦 文章标签: 爬虫
于 2023-12-27 00:00:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/randy521520/article/details/134754257
版权

声明:
该文章为学习使用,严禁用于商业用途和非法用途,违者后果自负,由此产生的一切后果均与作者无关

一、找出需要加密的参数
  1. js运行 atob(‘aHR0cDovL3d3dy56am1hemhhbmcuZ292LmNuL2hkamxwdC9wdWJsaXNoZWQ/dmlhPXBj’) 拿到网址,F12打开调试工具,刷新页面,找到 hdjlpt/letter/pubList 请求,鼠标右击请求找到Copy>Copy as cUrl(cmd)
  2. 打开网站:https://spidertools.cn/#/curl2Request,把拷贝好的curl转成python代码,新建 zf.py,把代码复制到该文件
    在这里插入图片描述
  3. 然后把代码中的header中的X-CSRF-TOKEN、cookie中的szxx_session分别注释运行文件,会发现数据未获取成功,说明这俩是加密参数
    在这里插入图片描述
    在这里插入图片描述
二、定位响应cookie生成位置
  1. 关键字szxx_session搜索,会发现szxx_session是由响应头set-cookie设置的cookie,Set-Cookie是服务器在客户端储存的一些信息,用于在后续的请求中传递和存储用户相关的信息或状态
    在这里插入图片描述
  2. 切换到Application,清除浏览器的cookie,一定要先清除cookie,清除cookie后,刷新页面,关键字搜索szxx_session,找到第一次设置szxx_session的地方,hdjlpt/published?via=pc是第一次设置szxx_session的请求,分析hdjlpt/published?via=pc会发现请求、cookie、header都没加密参数,响应返回的是个html
    在这里插入图片描述在这里插入图片描述在这里插入图片描述
  3. 修改zf.py,注释掉之前的请求,添加获取get_cookie的请求,会发现szxx_session以从hdjlpt/published?via=pc中拿到
    在这里插入图片描述
三、定位X-CSRF-TOKEN生成位置
  1. 关键字X-CSRF-TOKEN搜索,会发现X-CSRF-TOKEN的值是_CSRF,而_CSRF是hdjlpt/published?via=pc中html有个赋值的地方,找到返回的html,复制_CSRF值,通过关键字搜索会发现hdjlpt/letter/pubList中的值正是hdjlpt/published?via=pc中的html_CSRF
    在这里插入图片描述
    在这里插入图片描述
  2. 修改zf.py,运行文件会发现数据获取成功
    在这里插入图片描述
四、最终代码
import requests
import re


headers = {
    "Accept": "application/json, text/plain, */*",
    "Accept-Language": "zh-CN,zh;q=0.9",
    "Cache-Control": "no-cache",
    "Content-Type": "application/x-www-form-urlencoded",
    "Origin": "http://www.zjmazhang.gov.cn",
    "Pragma": "no-cache",
    "Proxy-Connection": "keep-alive",
    "Referer": "http://www.zjmazhang.gov.cn/",
    "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/119.0.0.0 Safari/537.36",
    # "X-CSRF-TOKEN": "RxuDLCESEXCWLi8iOKojqI77MVyigEqC2MXgfV7e"
}
cookies = {
    "zh_choose": "n",
    # "XSRF-TOKEN": "eyJpdiI6Ilc0RlV1cFQrdVIzNk1xTlJEajM2RFE9PSIsInZhbHVlIjoiZ216VHB6Y3paUUJqSCtERzlsS0w4clZZY2RQWUcyRGRNOFRPU1hKaGtBVUlmd1I3VjB1Zkh2YkRLamdEWGZMSCIsIm1hYyI6ImU3MjQ1YjYyNDRhM2MwYWQxZGFmODYxODk4MzY4YzE0OTM0NjViMTI5NDRiYjI1YzNjNDRhNzU4NjU4NjJiM2EifQ%3D%3D",
    # "szxx_session": "eyJpdiI6IkVER0lEV1FlM0NwTE5YWFpKbExnNWc9PSIsInZhbHVlIjoiVG5zQ3oxa3NMVm1Ra0d5Z1Q4akJ3aXlVbm1LNG9lMUFSTmM2d3hPdkE3REhNTE5tU2xTd2FUYzZvSUtCQTFDUiIsIm1hYyI6ImVlY2VjNmY1MjJhMDQ3OWM0OTJiZmEyMmVjZmYxOTExZDY1NDg1Y2VhMmRhZWM1OTE5YTZlNjI3ZTQzMzc4MDIifQ%3D%3D"
}

request_session = requests.session()
request_session.headers.update(headers)
request_session.cookies.update(cookies)

def get_cookie():
    cookie_request = request_session.get('http://www.zjmazhang.gov.cn/hdjlpt/published?via=pc')
    cookies['XSRF-TOKEN'] = cookie_request.cookies['XSRF-TOKEN']
    cookies['szxx_session'] = cookie_request.cookies['szxx_session']
    request_session.cookies.update(cookies)

    html = cookie_request.text

    headers['X-CSRF-TOKEN'] = re.findall("var _CSRF = '(.*?)';",html)[0]
    request_session.headers.update(headers)


get_cookie()


url = "http://www.zjmazhang.gov.cn/hdjlpt/letter/pubList"
data = {
    "offset": "0",
    "limit": "20",
    "site_id": "759010",
    "time_from": "1669737600",
    "time_to": "1701273599"
}
response = requests.post(url, headers=headers, cookies=cookies, data=data, verify=False)

print(response.text)
print(response)
局外人LZ
关注
  • 8
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Web开发中的 XSS、CSRF/XSRF、CORS
weixin_45678031的博客
06-09 590
XSS 跨站脚本攻击 向正常网站的表单中注入恶意脚本代码,窃取网站私有内容,比如窃取cookies、localstorage、sessionstorage的内容。 防御策略 设置cookies为HttpOnly 使cookie不可被js读取操作。 CSRF/XSRF 跨站请求伪造 诱导用户在恶意网站内点击链接,链接请求正常网站的功能业务,会自动携带正常网站的cookies,在用户不知情的情况下完成一些操作。 防御策略 健强服务端逻辑,严格restful风格,可以防御一些低端的攻击。 利用请求头中的refe
Cookie和Session、token —— 用户身份验证技术
mantou_riji的博客
07-08 654
我们在登陆一个网站后,如果退出页面再次进入的时候就是已登陆好的状态,这就是cookie的作用。 Cookie是一种进行网络会话状态跟踪的技术。1. Cookie诞生的原因 会话是由一组请求与响应组成,是围绕着一件相关事情所进行的请求与响应。所以这些请求与响应之间一定是需要有数据传递的,即是需要进行会话状态跟踪的。然而HTTP协议是一种无状态协议(即在不同的请求间是无法进行数据传递的)。在这种情况下就引入Cookie 用来跟踪请求间数据传递的会话。2.Cookie的作用 Cookie是由 服务器 生成,保存在
【笔记】Python3|爬虫请求 CSRF-Token 时如何获取TokenToken过期、处理 CSRF-Token 需要注意的问题及示例
qq_46106285的博客
03-19 8225
注意CSRF-Token可能也在响应头中,以及requests请求的时候要用Session,不然就会过期。
为什么XSRF-TOKEN可以用于防止跨站请求伪造(CSRF或XSRF)攻击
m0_57236802的博客
08-13 2044
在发送到服务器的每个非简单请求(例如 POST 请求)中,客户端应用程序还必须以某种方式(如请求头或表单字段)将该 token 包括进去。因此,即使攻击者能够诱使用户的浏览器对目标站点发起请求,由于他们不能在请求中包括有效的 token,所以该请求将被服务器拒绝。用于防止跨站请求伪造(CSRF 或 XSRF)攻击的原理在于,它为每个会话提供了一个唯一的、难以预测的 token。:对于每个涉及潜在副作用的请求(例如修改、添加或删除数据的请求),服务器都会检查附带的。
Jmeter学习和一个关于jmeter获取X-XSRF-TOKEN时的坑
weixin_56039103的博客
08-07 1679
所以整理之后的脚本进行合理的调整后应该长这样:其中的每个部件:(1)全局HTTP Cookie管理器(2)全局HTTP请求头(3)登录前置事务管理器、边界表达式提取器登录前置事务管理器边界表达式提取器(4)登录事务管理器、登录请求头、json提取器登录事务管理器登录请求头json提取器(5)业务事务管理器、业务请求头业务事务管理器业务请求头(6)结果树。
通过Postman进行post请求时传递X-XSRF-TOKEN
热门推荐
如是说的博客
08-28 2万+
前言介绍 这段时间一个项目后端用的是laravel.在写api接口时通过Postman6进行测试.但是在测试post形式的接口时laravel自带了CSRF验证机制.这就很尴尬了... 所以我们的目的在使用Postman通過XSRF的验证,以測試POST的請求。还是以laravel为例子,Laravel会返回到浏览器的GET请求时将XSRF-TOKEN写在Cookie中.因此我们需要从Cook...
python 爬虫实战案例:爬取网易云音乐评价 源码
最新发布
04-30
学习网络爬虫:作为学习网络爬虫技术的入门案例。 市场分析:收集用户评价,进行市场趋势分析。 用户行为研究:分析用户对不同歌曲的评价,了解用户偏好。 其他说明 遵守法律法规:在进行网络爬虫操作时,必须遵守...
Python爬虫案例:实战课件与完整代码资源
10-20
这一份资源汇集了Python爬虫领域的多个案例,包括了详细的课件和完整的源代码,旨在帮助你掌握网络数据抓取和爬虫编程的技能。资源中的案例覆盖了从基础到高级的主题,让你能够逐步提升你的爬虫开发技能。 适用人群...
Python爬虫案例2:爬取前程无忧网站数据
10-27
在本Python爬虫案例中,我们将探讨如何使用Python来爬取前程无忧网站的数据。前程无忧(51Job)是中国领先的招聘网站之一,提供大量的职位信息,这为我们提供了丰富的数据源来学习和实践网络爬虫技术。 首先,我们...
Python3爬虫带上cookie的实例代码
09-16
在Python网络爬虫开发中,有时我们需要模拟浏览器行为,以便获取特定用户权限才能访问的数据,这时就需要用到Cookie。本文将详细介绍如何在Python3中使用爬虫带上Cookie进行网络请求。 Cookie是由服务器发送到...
python爬虫:爬取某音乐平台的音乐
11-10
是这样的一个网站,在上面可以免费下载音乐,但是每次下载音乐,需要到微信上找到对应公众号获取验证码验证一下,小编觉得这比较繁琐,于是写了一个程序,简化这个操作而已。
java爬虫案例,某壁纸网站爬虫
05-15
java爬虫,基于jsoup
Python爬虫使用浏览器cookies:browsercookie过程解析
01-02
很多用Python的人可能都写过网络爬虫,自动化获取网络数据确实是一件令人愉悦的事情,而Python很好的帮助我们达到这种愉悦。然而,爬虫经常要碰到各种登录、验证的阻挠,让人灰心丧气(网站:天天碰到各种各样的爬虫...
python爬虫20个案例
03-25
讲诉python爬虫的20个案例 。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。
tornado中的xsrf的使用
nbxuwentao的博客
06-16 1050
reference: https://www.cnblogs.com/paulwhw/articles/12021903.html tornado中使用xsrf 做做笔记
Laravel 学习之 XSRF-TOKEN 验证问题
weixin_33910434的博客
07-24 2025
近日在学习laravel,在写登录模块时用ajax-post传递数据,一直报TokenMismatchException错误,后了解需要在html代码中添加如下代码 //<head>标签中添加如下 <meta name="csrf-token" content="{{ csrf_token()}}">代码 在发起a...
python csrf token_python爬虫如何获取X-CSRF-Token
weixin_39957647的博客
12-08 2134
headers3 = {"Accept": "application/json, text/javascript, */*; q=0.01","Accept-Encoding": "gzip, deflate","Accept-Language": "zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2","Connection":...
csrf漏洞原理及防御
javagty6778的博客
01-09 232
从上图可以看出,要完成一次CSRF攻击,受害者必须依次完成两个步骤1.登录受信任网站A,并在本地生成Cookie2.在不登出A的情况下,访问危险网站B。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值