Android中使用HttpClient获取网站CSRF token

最新推荐文章于 2024-05-08 21:32:47 发布
最新推荐文章于 2024-05-08 21:32:47 发布
阅读量1.9k 收藏 1
点赞数
分类专栏: Android 文章标签: CSRF token Android 登陆
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sad490/article/details/79370206
版权

当登陆网站时,网站通常会进行csrftoken校验,这是为了防止所谓的CSRF攻击,通常csrftoken都放在用户的cookies中,本文主要讲解如何获取这个token,并如何使用这个token。

一、获取cookies

        httpclient = new DefaultHttpClient();
        HttpGet httpget = new HttpGet("你的网址");
        HttpResponse response = httpclient.execute(httpget);
        HttpEntity entity = response.getEntity();
        List<Cookie> cookies = httpclient.getCookieStore().getCookies();

如此便获取了网站的cookies。

二、获取CSRF token

获取CSRF token相对较为简单,只要找到包含CSRF token的cookies并使用如下函数即可获取:

    /**
     * Get Crsf From Cookies ...
     * @param cookie
     * @return
     */
    private static String getCsrffromCookie( String cookie ) {
        return cookie.substring(cookie.indexOf("value: ") + 7, cookie.indexOf("value: ") + 7 + 64);
    }

三、使用CSRF token

CSRF token通常使用在HttpPost方法中,

如在登陆时:

        List<NameValuePair> nvps = new ArrayList<NameValuePair>();
        nvps.add(new BasicNameValuePair("username", username));
        nvps.add(new BasicNameValuePair("password", password));
        nvps.add(new BasicNameValuePair("csrfmiddlewaretoken", csrf));

然后使用

        httpPost.setEntity(new UrlEncodedFormEntity(nvps, "UTF-8"));

即可。

Zijie Tian
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
美团Token测试.7z
05-14
在本示例,"美团Token测试.7z"是一个包含C#源代码的压缩包,用于演示如何使用内嵌浏览器库CefSharp来计算美团平台的Token值。下面将详细阐述相关知识点: 1. **Token基础概念**: - Token是服务器颁发给客户端的...
HttpClient 调用远程服务,POST 请求 ,x-csrf-token验证失败,报CSRF token validation failed 问题解决
yinyulong123的博客
04-17 1万+
首先通过 HttpGet 来获取x-csrf-token,代码如下:HttpGet httpget = new HttpGet(url); httpget.setHeader("Content-Type", "application/x-www-form-urlencoded;charset=UTF-8"); httpget.setHeader("Authorization", code); ht...
Django 之前端获取 csrftoken 的几种方式以及源码解释(超详细)
她°
06-10 4532
如果是前后端不分离的项目,django 为了防止 XSS 攻击,要求所有 form 表单提交时加上 标签,前端会再 html 加入一个 input 标签 这个间件就是来验证 csrf_token 如果没有加,就会出错,这个 token 每次刷新页面时都会刷新,客户在请求时。会再服务器端生成一个 token,然后放在 cookie里面,每次 post 请求都会带上这个 token,去和表单里面的去对比。官⽅⽂档说到,检验token时,只⽐较secret是否和cookie的secret值⼀样,⽽不是
在前端JavaScript动态获取CSRF令牌的几种方法
最新发布
qq_42214739的博客
05-08 531
通过以上任一方法,您可以在前端JavaScript动态获取使用CSRF令牌,以保护您的POST请求免受跨站请求伪造攻击。如果CSRF令牌已经包含在HTML页面(通常是隐藏的输入字段),您可以直接通过DOM API获取它的值。确保在发送AJAX请求时携带CSRF令牌,无论是在请求头还是在请求体,这取决于服务器端的期望。某些前端框架或库可能提供了获取CSRF令牌的内置方法或插件,您可以查看您使用的框架或库的文档。在使用CSRF令牌时,避免在不安全的上下文暴露它,如公共计算机或共享网络。
CSRF防御之token认证
热门推荐
EmotionComputer
06-24 3万+
一、CSRF是什么? CSRF(Cross-site request forgery),文名称:跨站请求伪造。攻击者盗用你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。 二、CSRF攻击原理 三、防御CSRF的策略:token认证 1、token验证方法 CSRF 攻击之...
HttpClient接口测试(详解加token传递实战)
sunnygao的博客
09-21 6112
文章目录HttpClient 接口测试1.Get请求 操作步骤1.1无参数2.Post请求2.1有Form形式的参数2.2JSON形式的参数3.注意事项4.排查思路5.HttpClient+Java+TestNG接口测试实战6、Java正则表达式Pattern和Matcher1.抓取文本内容(txt)2.抓取页面(html)HttpClient综合实战(token传递) HttpClient 接口测试 1.Get请求 操作步骤 ​ get请求第一种情况接受参数,第二种情况传参 1.1无参数 Stri
【笔记】Python3|爬虫请求 CSRF-Token 时如何获取TokenToken过期、处理 CSRF-Token 需要注意的问题及示例
qq_46106285的博客
03-19 8037
注意CSRF-Token可能也在响应头,以及requests请求的时候要用Session,不然就会过期。
spring-security 前后分离如何获取csrf-token
n_rts的博客
02-16 4156
spingboot+security 前后端分离支持csrf
java模拟淘宝登录源码
01-15
同时,考虑到淘宝等大型网站可能有反爬虫机制,模拟登录时可能需要处理验证码、动态token等问题。此外,如果要进行大规模的自动化操作,可能需要考虑多线程、代理IP池等策略,以提高效率和避免被封禁。 以上就是...
asp.net网站实现接入QQ登录示例代码
10-21
这通常涉及到一个POST请求,示例代码使用了`HttpHelper.HtmlFromUrlGet`,但实际生产环境,你可能需要使用HttpClient或者其他的HTTP客户端库。 ```csharp public User_info Back_User(string code) { string ...
Java 关于爬取网站数据遇到csrf-token的分析与解决
DOBEONE玉苑的博客
03-24 6518
问题描述 在爬取某网站的时候遇到了问题,因为网站的避免CSRF攻击机制,无法获取到目标页面数据,而是跳转到一个默认页面。 关于CSRF 1、CSRF tokens是如何工作(详情请点击查引用源站点) 1、服务器发送给客户端一个token。 2、客户端提交的表单带着这个token。 3、如果这个token不合法,那么服务器拒绝这个请求。 2、java 站点应对CS...
httpclient请求oauth服务器token
07-23
使用HttpClient获取oAuth2.0的、token及refreshToken
实战HttpClient 接口调用以及获取token 设置请求头
T
12-03 2万+
简介: HTTP 协议可能是现在 Internet 上使用得最多、最重要的协议了,越来越多的 Java 应用程序需要直接通过 HTTP 协议来访问网络资源。虽然在 JDK 的 java.net 包已经提供了访问 HTTP 协议的基本功能,但是对于大部分应用程序来说,JDK 库本身提供的功能还不够丰富和灵活。HttpClient 是 Apache Jakarta Common 下的子项目,用来提供...
Http请求获取Token(HttpClient)
皮鱼的世界
03-04 1万+
在对接多个平台的项目时,有时候可能需要http先发送请求,获取token来保证,数据传输的安全性,尔后再进行对应的业务请求。 下面提供一种示例给大家参考: 我们一般是使用apache的HttpClient工具类去实现,这样比较简单一些,具体是httpcore-4.3.jar和httpclient-4.2.2.jar,注意一定要版本相匹配,否则会造成jar冲突。 (如httpcore-4.0-beta1.jar这样的jar等) 我这里提供的一种思路是,第一次获取token后,第二次请求具体的业...
postman传文件和数据_告别 postman ,拥抱 Http Client
weixin_39831503的博客
11-03 227
现在的项目基本上都已经是前后端分离了,前后端分离需要前端工程师和后端工程师的密切配合,后端工程师必须要反复测试手里的接口没有问题才可以交付给前端工程师。这篇文章要解决的问题就是怎么帮助后端工程师快速的测试接口。很多开发人员用的接口测试工具是 Postman 或者是 Talend API Tester 等等 ,我之前一直使用的是 Talend API Tester 的 google 插件,一直感觉这...
调用HttpClient.PostAsync时传token等值
SunshineGGB的博客
12-09 1231
调用HttpClient.PostAsync时传token等值
android安全攻防实战 pdf_Web安全Day3 CSRF实战攻防
weixin_39574065的博客
11-21 221
本文由红日安全成员:Once、编写,首发于先知社区红日专栏。如果不当,还望斧正。大家好,我们是红日安全-Web安全攻防小组。,,还包含一个HTB靶场供大家练习,我们给这个项目起了一个名字叫Web安全实战(https://github.com/hongriSec/Web-Security-Attack),希望对想要学习Web安全的朋友们有所帮助。每篇文章都是在基于扩展简介-突破原理-漏洞-...
html token生成,如何在Java提交带有生成值的隐藏csrf_token_login字段的html登录表单...
weixin_42512509的博客
06-09 283
我需要从网站自动下载文件。文件下载按钮只有在登录后才会显示,我提供了用户名和密码。在登录表单有两个隐藏字段其之一是用生成的值csrf_token_login:如何在Java提交带有生成值的隐藏csrf_token_login字段的html登录表单很清楚如何在Java(使用java.net.HttpURLConnection),如果我刚才登录,该代码密码(在Using java.net.URL...
接口测试提取csrf_token和session
weixin_30918415的博客
06-20 1468
在接口测试过程,有时在登录接口或其他一些接口会有csrf_token请求参数的校验,但是获取可能不是那么简单, 本人在postman和jmeter尝试找到了响应的方法,特在此进行分享,请见者多多交流指教! 一、Jmerter获取csrf_token和session 1、Jmeter如果要获取response headers的session,也可以通过正则提取器。 ...
使用httpclient的post方法获取接口的token
06-03
好的,您可以参考以下代码实现: ```java import org.apache.http.HttpEntity; import org.apache.http.client.HttpClient; import org.apache.http.client.entity.UrlEncodedFormEntity; import org.apache.http.client.methods.HttpPost; import org.apache.http.impl.client.HttpClients; import org.apache.http.message.BasicNameValuePair; import org.apache.http.NameValuePair; import org.apache.http.util.EntityUtils; import java.util.ArrayList; import java.util.List; public class TokenClient { public static void main(String[] args) { HttpClient httpClient = HttpClients.createDefault(); HttpPost httpPost = new HttpPost("http://your-api-url/token"); List<NameValuePair> params = new ArrayList<>(); params.add(new BasicNameValuePair("username", "your-username")); params.add(new BasicNameValuePair("password", "your-password")); try { httpPost.setEntity(new UrlEncodedFormEntity(params)); HttpEntity httpEntity = httpClient.execute(httpPost).getEntity(); String token = EntityUtils.toString(httpEntity); System.out.println(token); } catch (Exception e) { e.printStackTrace(); } } } ``` 在这个例子,我们使用了 Apache HttpClient 库来发送 HTTP 请求。通过构造一个 HttpPost 对象来发送 POST 请求,然后将参数放入一个 NameValuePair 的列表,最后使用 UrlEncodedFormEntity 将参数编码成表单形式放入请求。最后,我们从响应获取到了 token 并打印出来。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值