Spider之后端base64编码前端JS动态解密反爬虫爬取实践

最新推荐文章于 2023-07-05 15:19:57 发布
最新推荐文章于 2023-07-05 15:19:57 发布
阅读量381 收藏
点赞数
文章标签: python js javascript web java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013072756/article/details/124825106
版权

Flask项目之前端JavaScript动态解码后端多次Base64编码达到数据加密反爬虫的效果(Spider);

Q: 爬虫(Spdier)步骤解析?

1.数据爬取;

  • 规则分析

2.数据提取;

  • 规则匹配

3.数据存储;

  • 数据清洗

Q: 反爬虫爬取方法技巧? (实际上提高了破解成本而已!)

  • 1.数据加密反扒:在服务端对数据进行特定算法的加密, 在客户端利用JS进行动态输出解密(如何保护前度解密文件是重点!);

Q: 我们为什么要用base64编码?

描述: 它是网络上最常见的用于传输8bit字节代码的编码方式之一, 采用base64编码具有不可读性即所编码的数据不会被人直接看出;
可将二进制数据编码为适合放在URL中的形式, 除此之外还可以放在请求头响应头进行传输

补充: Javascript 原生的 BASE64(ASCII) window.atob() 解码 与 window.btoa() 转码 但是他们并不支持中文的Base64编码需要下面自己写的 utf-8 decode 的实现;

Window.atob() # 函数用来解码一个已经被base-64编码过的数据。
window.btoa() # 将ascii字符串或二进制数据转换成一个base64编码过的字符串

反扒开发流程:

  • (1) 前台数据采用渲染JS(document.write)加密输出内容;

  • (2) 前台加载JS文件进行解码后动态输出内容;

  • (3) 请求的JS解密文件被其它请求响应路径所替代,并设置有失效期1000毫秒;

项目实践
Spider Example Request

# Day3\Spider\SpiderReq.py
# coding: utf-8
import requests
from pprint import pprint 

def get_data():
  response = requests.get('http://127.0.0.1:8000/get/info')
  pprint(response.content.decode('utf-8')) #pip install pprint

if __name__ == "__main__":
  get_data()

Javascript Base64 decode

<script type="text/javascript">
function BASE64() {  
    // private property  
    _keyStr = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/=";  

    // public method for encoding  
    this.encode = function (input) {  
        var output = "";  
        var chr1, chr2, chr3, enc1, enc2, enc3, enc4;  
        var i = 0;  
        input = _utf8_encode(input);  
        while (i < input.length) {  
            chr1 = input.charCodeAt(i++);  
            chr2 = input.charCodeAt(i++);  
            chr3 = input.charCodeAt(i++);  
            enc1 = chr1 >> 2;  
            enc2 = ((chr1 & 3) << 4) | (chr2 >> 4);  
            enc3 = ((chr2 & 15) << 2) | (chr3 >> 6);  
            enc4 = chr3 & 63;  
            if (isNaN(chr2)) {  
                enc3 = enc4 = 64;  
            } else if (isNaN(chr3)) {  
                enc4 = 64;  
            }  
            output = output +  
            _keyStr.charAt(enc1) + _keyStr.charAt(enc2) +  
            _keyStr.charAt(enc3) + _keyStr.charAt(enc4);  
        }  
        return output;  
    }  
 
    // public method for decoding  
    this.decode = function (input) {  
        var output = "";  
        var chr1, chr2, chr3;  
        var enc1, enc2, enc3, enc4;  
        var i = 0;  
        input = input.replace(/[^A-Za-z0-9\+\/\=]/g, "");  
        while (i < input.length) {  
            enc1 = _keyStr.indexOf(input.charAt(i++));  
            enc2 = _keyStr.indexOf(input.charAt(i++));  
            enc3 = _keyStr.indexOf(input.charAt(i++));  
            enc4 = _keyStr.indexOf(input.charAt(i++));  
            chr1 = (enc1 << 2) | (enc2 >> 4);  
            chr2 = ((enc2 & 15) << 4) | (enc3 >> 2);  
            chr3 = ((enc3 & 3) << 6) | enc4;  
            output = output + String.fromCharCode(chr1);  
            if (enc3 != 64) {  
                output = output + String.fromCharCode(chr2);  
            }  
            if (enc4 != 64) {  
                output = output + String.fromCharCode(chr3);  
            }  
        }  
        output = _utf8_decode(output);  
        return output;  
    }  
 
    // private method for UTF-8 encoding  
    _utf8_encode = function (string) {  
        string = string.replace(/\r\n/g,"\n");  
        var utftext = "";  
        for (var n = 0; n < string.length; n++) {  
            var c = string.charCodeAt(n);  
            if (c < 128) {  
                utftext += String.fromCharCode(c);  
            } else if((c > 127) && (c < 2048)) {  
                utftext += String.fromCharCode((c >> 6) | 192);  
                utftext += String.fromCharCode((c & 63) | 128);  
            } else {  
                utftext += String.fromCharCode((c >> 12) | 224);  
                utftext += String.fromCharCode(((c >> 6) & 63) | 128);  
                utftext += String.fromCharCode((c & 63) | 128);  
            }  
 
        }  
        return utftext;  
    }  
 
    // private method for UTF-8 decoding  
    _utf8_decode = function (utftext) {  
        var string = "";  
        var i = 0;  
        var c = c1 = c2 = 0;  
        while ( i < utftext.length ) {  
            c = utftext.charCodeAt(i);  
            if (c < 128) {  
                string += String.fromCharCode(c);  
                i++;  
            } else if((c > 191) && (c < 224)) {  
                c2 = utftext.charCodeAt(i+1);  
                string += String.fromCharCode(((c & 31) << 6) | (c2 & 63));  
                i += 2;  
            } else {  
                c2 = utftext.charCodeAt(i+1);  
                c3 = utftext.charCodeAt(i+2);  
                string += String.fromCharCode(((c & 15) << 12) | ((c2 & 63) << 6) | (c3 & 63));  
                i += 3;  
            }  
        }  
        return string;  
    }  
}

// 两次 base64.utf8 解密
function showEncodeHtml(content) {
  // 类的实例化
  var base64=new BASE64();
  // 多次base64解码
  return base64.decode(base64.decode(content)["\x72\x65\x70\x6c\x61\x63\x65"]('\x48\x74\x74\x70\x73\x77\x77\x77\x57\x65\x69\x79\x69\x47\x65\x65\x6b\x54\x4f\x50','')["\x72\x65\x70\x6c\x61\x63\x65"]('\x50\x4f\x54\x6b\x65\x65\x47\x69\x79\x69\x65\x57\x77\x77\x77\x73\x70\x74\x74\x48',''));
}

</script>

脚本解析:

# (1)在线十六进制转字符串: https://www.bejson.com/convert/ox2str/
HttpswwwWeiyiGeekTOP => 487474707377777757656979694765656b544f50 => \x48\x74\x74\x70\x73\x77\x77\x77\x57\x65\x69\x79\x69\x47\x65\x65\x6b\x54\x4f\x50
POTkeeGiyieWwwwspttH => 504f546b65654769796965577777777370747448 => \x50\x4f\x54\x6b\x65\x65\x47\x69\x79\x69\x65\x57\x77\x77\x77\x73\x70\x74\x74\x48

# 字符串反转
var reverse = function( str ){
  return str.split('').reverse().join('');
};
reverse('HttpswwwWeiyiGeekTOP');
# hex 编码
var string = "504f546b65654769796965577777777370747448";
var res = "";
for (i = 0; i < string.length; i+=2){
  res += "\\x"+string.slice(i,i+2);
}
console.log(res)


# (2) 实际脚本调用解析(以下方式常常用在恶意脚本以及混淆脚本之中)
base64.decode(
  base64.decode(context)["replace"]('HttpswwwWeiyiGeekTOP','')["replace"]('POTkeeGiyieWwwwspttH','')
  # base64.decode(context).replace('HttpswwwWeiyiGeekTOP','').replace('POTkeeGiyieWwwwspttH','')
)

Flask - Templates

  • Day3\App\templates\Spider\index.html

<!DOCTYPE html>
<html lang="en">
<head>
  <meta charset="UTF-8">
  <meta name="viewport" content="width=device-width, initial-scale=1.0">
  <title>{{ Title }}</title>
  <!-- (3) 静态js文件调用 -->
  <!-- <script src="{{ url_for('static', filename='Spider/decode.js')}}"></script> -->

  <!-- (4) 动态js文件调用(校验请求时间)防止网页上js文件被js编码破解 -->
  <script>
    document.write('<script src="/get/decode/?t='+Date.parse(new Date())+'"><\/script>')
  </script>
</head>
<body>
  <h1> 动物信息 </h1>
  <div class="animal">
    <!-- 
    (1) 常规方式
    <ul>
    {#
      {% for element in Info %}
      <li> {{# element.id }} - {{ element.name }} </li>
      {% endfor %}
    #}
    </ul> -->

    <!-- (2) 动态输出 -->
    <script type="text/javascript"> 
      //方式1.模板引擎渲染得到内容(未加密), 注意此处需要采用safe引擎内置函数进行HTML编码转码
      //document.write("{{ Info|safe }}");

      //方式2.模板引擎渲染得到内容(已base64编码)才用内置js文件进行反编码输出
      document.write(showEncodeHtml("{{ Info|safe }}"));
    </script>
  </div>
</body>
</html>

  • Day3\App\templates\Spider\info.html

<!-- 注意此处不能有换行否则需要在模板渲染返回字符串时候必须进行换行符替换 --> 
<ul>
  {% for element in Info %}
  <li> {{ element.id }} - {{ element.name }} </li>
  {% endfor %}
</ul>

Flask - View (蓝图)

  • Day3\App\views\Spider\demo1.py

# -*- coding: utf-8 -*-
from flask import Blueprint,render_template,request,make_response
from App.models import db,Dog
import base64
import os
import time

pocket = Blueprint('pocket', __name__, url_prefix='/get')

@pocket.route('/info/')
def get_info():
  # (1) 注意 in_ 只能用于filter并传入的是列表
  dogs = Dog.query.filter(Dog.id.in_([1,3,5,7,9])).all()
  # (2) 返回jijia2模板渲染后的结果此处需过滤掉换行符
  info = render_template('/Spider/info.html', Info = dogs).replace('\n','')
  # (3) 采用多次BASE64编码+自定义字符串拼接加密内容
  encode_content = base64.standard_b64encode(info.encode('utf-8')).decode('utf-8')
  # HttpswwwWeiyiGeekTOP => 487474707377777757656979694765656b544f50 => \x48\x74\x74\x70\x73\x77\x77\x77\x57\x65\x69\x79\x69\x47\x65\x65\x6b\x54\x4f\x50
  # POTkeeGiyieWwwwspttH => 504f546b65654769796965577777777370747448 => \x50\x4f\x54\x6b\x65\x65\x47\x69\x79\x69\x65\x57\x77\x77\x77\x73\x70\x74\x74\x48
  splice_content = "HttpswwwWeiyiGeekTOP" + encode_content + "POTkeeGiyieWwwwspttH"  # 拼接混淆二进制串
  mutil_encode = base64.standard_b64encode(splice_content.encode('utf-8')).decode('utf-8')
  print("Base64 编码:",encode_content)

  # (4) 向前台模板引擎传递参数
  return render_template('/Spider/index.html', Title = '数据内容加密与反扒区演示', Info = mutil_encode)

@pocket.route('/decode/')
def get_decode():
  # (6) 访问时间戳先渲染html页面在请求js(重点值得学习)
  try:
    t = request.args.get('t')
    t = int(t)
  except:
    resp = make_response("alert('请求参数超时')")
    resp.headers["Content-type"]="text/javascript;charset=UTF-8"
    return resp
    
  c = time.time() * 1000
  # 一秒之内正常请求
  if ( c - t <= 1000 ) and c > t:
    # (5) 加载解密的JS文件 等同于 http://127.0.0.1:8000/static/Spider/decode.js
    BASE_DIR = os.path.dirname(__file__)
    with open(os.path.join(BASE_DIR, '..\..\static\Spider\decode.js'),encoding='utf-8') as file:
      jsdecode=file.read()
    resp = make_response(jsdecode)
    resp.headers["Content-type"]="text/javascript;charset=UTF-8"  # 正式环境中推荐此种方式开发
  else:
    resp = make_response("alert('请求超时')")
    resp.headers["Content-type"]="text/javascript;charset=UTF-8"

  return resp

效果反馈:

  • (1) 简单爬取示例 : http://127.0.0.1:8000/get/info

567082ea64897097ca9b1b87e5c58791.png

  • (2) 前端网页显示 : http://127.0.0.1:8000/get/info

Base64 编码: PCEtLSDms6jmhI/mraTlpITkuI3og73mnInmjaLooYzlkKbliJnpnIDopoHlnKjmqKHmnb/muLLmn5Pov5Tlm57lrZfnrKbkuLLml7blgJnlv4Xpobvov5vooYzmjaLooYznrKbmm7/mjaIgLS0+IDx1bD4gICAgPGxpPiAxIC0g6Zi/6buEMOWPtyA8L2xpPiAgICA8bGk+IDMgLSDpmL/pu4Qy5Y+3IDwvbGk+ICAgIDxsaT4gNSAtIOmYv+m7hDTlj7cgPC9saT4gICAgPGxpPiA3IC0g6Zi/6buENuWPtyA8L2xpPiAgICA8bGk+IDkgLSDpmL/pu4Q45Y+3IDwvbGk+ICA8L3VsPg==

09e944f1afa861598cc668db6e5ce9fa.png

  • (3) 被包装后js文件(实际上可以加上JS混淆)如果直接访问将会报错即请求与服务器时间超过1秒时不能正常返回js解密代码 :http://127.0.0.1:8000/get/decode/?t=1603810658000

a320845fd366892099cc377656a907e6.png

方式缺陷与对应解决办法:

  • (1) 采用浏览器中的网页交互式(Console)控制台获取JS加密的函数从而逆向解密网页内容(建议加上JS混淆有一定程度上的作用);

bcfcc10da5a2c2610cc4ef671647d813.png

  • (2) 采用 Selenium + ChormeDriver 它是一个用于Web应用程序测试的工具,它可以操控浏览器来爬取网上的数据是爬虫的终极利器;

  • (3) 采用 Phantomjs 分析html代码,基于队列的爬虫、数据存储、数据拆分、爬虫限速、网页跟踪,脚本注入等技术。

本文章来源 Blog 站点(友链交换请邮我哟):

  • https://weiyigeek.top # 国内访问较慢

  • https://blog.weiyigeek.top # 更新频繁

  • https://weiyigeek.gitee.io # 国内访问快可能会有更新不及时得情况

更多学习笔记文章请关注 WeiyiGeek 公众账号
【点击我关注】

cbe3f3e8f43e0e148dbc28d3e9d060dc.png

全栈工程师修炼指南
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
爬虫js加密常用函数MD5/Sha1/Base64
爬虫进击之路
10-29 400
前言 随着爬虫手段的不断进化,越来越多的网站都会在接口上用到加密参数,常见的加密有MD5,Base64,sha1,利用这些加密手段通过时间戳和一些字符串进行加密,进行校验会拦截80%的爬虫,而本文针对这三种加密方式分享出js函数,方便大家使用。 1.md5 MD5信息摘要算法(英语:MD5 Message-Digest Algorithm),一种被广泛使用的密码散列函数,可以产生出一个128位(16字节)的散列值(hash value),用于确保信息传输完整一致。MD5算法的原理可简要的叙述为:MD5码以
爬虫知识库详解和案例实操
longhaierwd的博客
07-15 1066
request是最基本的HTTP请求模块,可以模拟请求的发送,其过程与在浏览器中输入网址1然后回车一样,只要给库方法传入URL以及额外的参数,就可以模拟实现发送请求的过程。requests中的get(),post(),put(),delete(),patch()方法可以实现GET,POST,PUT,DELETE,PATCH请求。logging 模块是 Python 内置的标准模块,主要用于输出运行日志,可以设置输出日志的等级、日志保存路径、日志文件回滚等;
Spiders.js:通过actor可以轻松实现JavaScript中的并行和分布式编程
05-06
Spiders.js 通过actor可以轻松实现JavaScript的并行和分布式编程 用法 使用npm安装: npm install spiders.js 基本上,Web Worker和子进程是可用于并行化JavaScript中的应用程序的唯一并行构件。 面对现实吧,并行编程非常困难,并且与Web Worker或Node.js的子进程API交往并没有使它变得更容易。 Spiders.js基于通信事件循环提供了一种易于理解的API,使您可以轻松地并行生成actor。 而且,这些参与者可以与任何其他Spiders.js参与者进行本地通信(无论这些参与者是否驻留在同一台计算机上)。 教程 使用Actor,您可以处理并行性,而不必担心数据争用和共享可变状态的麻烦。 参与者基本上是完全隔离运行的线程,该线程通过消息传递与其他参与者进行通信。 通讯事件循环是参与者的一种特殊形式,它为该并行模型添
基于Base64编码爬虫
数据知道的博客
03-29 2万+
1. Base64的用法 # base64的用法 import base64 encodestr = base64.b64encode('abcr34r344r'.encode('utf-8')) print(encodestr) # b'YWJjcjM0cjM0NHI=' encodestr = base64.b64encode('abcr34r344r'.encode('utf-8'))...
猿人学-第二题简易动态js加密解析
稳稳C9的博客
12-31 762
猿人学,练习平台,第二题
(接口爬虫实战)前后加密处理:AES加密算法
jcmcom的博客
09-13 1600
前后接口参数加密处理:AES加密算法
网络爬虫技术
weixin_47000687的博客
07-05 1268
网络爬虫又称网络蜘蛛、网络机器人,它是一种按照一定的规则自动浏览、检索网页信息的程序或者脚本。网络爬虫能够自动请求网页,并将所需要的数据抓下来。通过对抓的数据进行处理,从而提出有价值的信息。但要注意:爬虫是一把双刃剑关于爬虫的如何合法使用,应遵守《中华人民共和国网络安全法》
最全面、最详细web前端面试题及答案总结
热门推荐
HanXiaoXi_yeal的博客
02-01 3万+
2021最全面、最详细web前端面试题及答案总结 总结不易,希望可以帮助到即将面试或还在学习中的web前端小伙伴,祝面试顺利,拿高薪! 本章是HTML考点的⾮重难点,因此我们采⽤简略回答的⽅式进⾏撰写,所以不会有太多详细的解释。我们约定,每个问题后我们标记『✨ 』的为⾼频⾯试题 doctype的作⽤是什么?✨ DOCTYPE是html5标准⽹⻚声明,且必须声明在HTML⽂档的第⼀⾏。来告知浏览器的解析器⽤什么⽂档标准解析这个 ⽂档,不同的渲染模式会影响到浏览器对于 CSS 代码甚⾄ JavaScript
爬虫数据采集基础
m0_46427459的博客
06-28 6144
1
js实现的模拟蜘蛛怕蜘蛛网效果
12-08
蜘蛛模拟效果,js实现的强大的html5网页效果,可以拖动蜘蛛网和蜘蛛,蜘蛛会使劲网逃生,可以把蜘蛛拖动地下让它上不了蜘蛛网。
Node.js-spiderurlnodejs网站的a标签链接
08-09
spider_url:node js网站的a标签链接
python爬虫百度百科页面
02-07
> ### python爬虫百度百科页面 > 简单爬虫框架: > 爬虫调度器 -> URL管理器 -> 网页下载器(urllib2) -> 网页解析器(BeautifulSoup) -> 价值数据 目录结构: ![]...
Spider:爬虫爬虫JS 逆向, 安卓逆向, AST
05-14
spider爬虫爬虫JS 逆向, 安卓逆向, AST
spider_web:nodejs 基本的Web 页面用于展示Buick 爬虫到的论坛数据
05-29
spider_web nodejs 基本的Web 页面用于展示Buick 爬虫到的论坛数据
python面向对象多线程爬虫搜狐页面的实例代码
12-23
1. 创建爬虫对象,具有的几个行为:抓页面,解析页面,抽页面,储存页面 class Spider(object): def __init__(self): # 状态(是否工作) self.status = SpiderStatus.IDLE # 抓页面 def fetch(self, ...
python spider 多线程爬虫 帐号密码登陆简单例子
06-28
文件列表 │ requirements.txt │ source.txt │ tumblr.py │ user.txt │ └─snapshoots results.png
Spider:JavaScript的激动人心的替代品
05-21 702
蜘蛛是试图通过提供更高的可靠性,以改善我们的代码新的语言之一。 有些当然可以把它描述为CoffeeScript的使用JavaScript语法,但这样的描述将无法强调蜘蛛的真正好处。 蜘蛛含有不是像大多数的CoffeeScript替代了很多独特而有趣的概念。 而后者则是肯定更加成熟,比蜘蛛,我们通过选择八个条腿的节肢动物命名的语言得到一些不错的选择。 如果我们只是想尝试用另一种语言的一点点,寻找...
weibo_spider_spider_微博_微博评论_微博_weibospider_
10-01
能够对微博进行相关的内容及评论。
scrapy爬虫网页
最新发布
11-23
以下是使用Scrapy框架进行网页的步骤: 1.安装Scrapy框架 ```shell pip install scrapy ``` 2.创建一个Scrapy项目 ```shell scrapy startproject ``` 3.创建一个Spider ```shell cd scrapy genspider ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

全栈工程师修炼指南

原创不易,赞赏鼓励!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值