接口测试提取csrf_token和session

最新推荐文章于 2024-05-08 21:32:47 发布
最新推荐文章于 2024-05-08 21:32:47 发布
阅读量1.4k 收藏 2
点赞数 1
文章标签: 测试 java postman
原文链接:http://www.cnblogs.com/fxcity/p/11056251.html
版权

在接口测试过程中,有时在登录接口或其他一些接口会有csrf_token请求参数的校验,但是获取可能不是那么简单,

本人在postman和jmeter中尝试找到了响应的方法,特在此进行分享,请见者多多交流指教!

一、Jmerter中获取csrf_token和session

1、Jmeter中如果要获取response headers的session,也可以通过正则提取器。

 

 

2、在Jmeter中比较简单,通过添加一个正则表达式提取器,然后用正则表达式进行匹配获取,后续接口就通过变量引用来调用。设置如下图:

 

二、Postman中获取csrf_token和session

  在Tests面板中编写脚本即可。

  

  jemter中获取session,如下:

  

//1、postman获取RequestHeader的cookie
    var cookie = pm.request.headers.get("cookie");//从请求头中获取数据
    pm.environment.set("cookie",cookie);//设置为环境变量
//2、postman获取ResponseHeader的cookie,并设置为环境变量
  //var cookie = postman.getResponseHeader("cookie");
  //pm.environment.set("cookie",value);
//需要分割取部分值时用以下方式用spilt方法将其分割成数组
  //data = jsondata.split(";");
  //console.log(data[0])

 

补充:

在纯python的代码框架中测试,可以通过以下方式获取:(此方法比较笨,但我暂时只知道这方法,需要但没别的办法将就用,哈哈)

base_url="http://192.168.31.13:8080" #访问的url

def getclassify():
    r=requests.get(base_url+'/login') #进行get请求
    str = r.text              #获取返回值的文本内容        
    csrf_token= str[281:317]        #文本内容通过string的下标方式进行获取
    return csrf_token             #返回内容

 参考链接:

  1、https://blog.csdn.net/lion19930924/article/details/51189210

  2、https://blog.csdn.net/weixin_42541360/article/details/89393100

  3、https://blog.csdn.net/hhy_123963/article/details/88567948

转载于:https://www.cnblogs.com/fxcity/p/11056251.html

weixin_30918415
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Python如何获取csrf_token
weixin_41548578的博客
11-27 4439
前言 突然接到一个任务,将Jenkins与我们的自动化测试平台集成进来,自动化平台时基于python+django的。这就需要写一个python脚本去调用平台的runsuite接口,由Jenkins去触发。 通过Charles抓取到相应的接口后执行起来一直报403,调查后发现是由于Django平台设置的csrf_token一直在变化. 解决办法 用postman运行接口时,可以在postman的T...
Login_Registration
03-25
7. **安全防护**:考虑XSS(跨站脚本攻击)和CSRF(跨站请求伪造)等安全问题,需要在合适的地方添加反XSS和CSRF token。 8. **API设计**:如果项目涉及到前后端分离,可能需要设计RESTful API接口,Python的Flask-...
http请求响应报文及session&cookie&token详解
NZXHJ的博客
07-30 4637
http请求响应报文及session&cookie详解
解决接口测试token失效问题
热门推荐
与君共勉
05-28 8万+
接口测试中我们经常是从登录接口获取token,其他的接口在header中传入新的token才可以正确发送请求。所以在做接口自动化测试时,我们不能将token写死,而是应该每次请求就重新获取新的token,以保证接口请求可以正常得到正确的返回值。 我的解决思路是:在每次发送带token的请求接口前,先调用登录接口获取token,然后将该值更新到需要测试的接口头文件中。 根据post请求的两种最常...
在前端JavaScript中动态获取CSRF令牌的几种方法
最新发布
qq_42214739的博客
05-08 484
通过以上任一方法,您可以在前端JavaScript中动态获取并使用CSRF令牌,以保护您的POST请求免受跨站请求伪造攻击。如果CSRF令牌已经包含在HTML页面中(通常是隐藏的输入字段),您可以直接通过DOM API获取它的值。确保在发送AJAX请求时携带CSRF令牌,无论是在请求头中还是在请求体中,这取决于服务器端的期望。某些前端框架或库可能提供了获取CSRF令牌的内置方法或插件,您可以查看您使用的框架或库的文档。在使用CSRF令牌时,避免在不安全的上下文中暴露它,如公共计算机或共享网络。
关于获取csrf-token前端技巧思考
weixin_50464560的博客
08-17 2443
https://xz.aliyun.com/t/7084 前言 如果说一个产品RCE漏洞相对描述是“一语中的”、“一发入魂”的杀气,想必各大厂商在对杀气感知和处理上总是最快最灵敏的,从各大专有SRC对报告的反映速度、修复速度、挖掘难易程度来说,也很好的佐证了这一点。log里保存着任何服务器接收到的数据原文随时溯源当场处理爱憎分明、系统环境在被攻击时的奇怪变化一看便知,一个好的RCE确实是无敌的,至少在被受攻击者审计出来前,高效便捷准确有效。但它一旦被使用,变会在厂商眼皮下留
CSRF】动态生成CSRF_TOKEN
qq_35807303的博客
12-27 1860
项目场景: 项目相关背景: 在日常项目开发过程中,很多敏感的数据接口都很容易被恶意访问和调用,这种情况下为了避免接口被跨页面攻击(以下统称:Cross-site request forgery(CSRF)),都会在请求接口出增加临时token,避免接口被恶意调用,但是很多框架只支持静态页面生成渲染CSRF TOKEN,对动态api接口并不友好(前后端分离),只能自己写动静都支持的代码逻辑; 业务代码: 以下是相关的示例代码,此代码支持动态api接口使用,能满足各个业务端使用,每次调用验证完成之后都会自动
hucart-含有CSRF漏洞的源码.zip
12-31
- 使用CSRF Token:为每个敏感操作生成一个唯一的CSRF Token,并将其存储在服务器端或用户Session中。在提交表单时,将Token作为隐藏字段一并提交,服务器验证其有效性。 - Referer检查:虽然不安全,但可以作为一...
django_user_api
03-17
Django的CSRF(跨站请求伪造)保护和XFrameOptionsMiddleware可以防止这些攻击。 12. **部署**:最后,Django项目通常部署在WSGI服务器上,如Gunicorn或uWSGI,再通过Nginx等反向代理服务器进行负载均衡和静态文件...
UMS.zip_ums联合管理_用户
09-20
- 认证成功后,系统通常会生成会话(session)或令牌(token)以跟踪用户的在线状态。 3. **用户添加**: - 用户添加功能涉及到用户信息的收集和存储。开发者需要创建表单以获取用户输入(如姓名、邮箱、密码等)...
holbertonschool-web_back_end
03-16
同时,理解基本的认证机制,如sessiontoken,以及更现代的OAuth2或JWT(JSON Web Tokens)也很重要。 8. **部署与运维**:最后,了解如何将应用部署到服务器(如Heroku、AWS或Google Cloud Platform)以及使用...
【笔记】Python3|爬虫请求 CSRF-Token 时如何获取TokenToken过期、处理 CSRF-Token 需要注意的问题及示例
qq_46106285的博客
03-19 7804
注意CSRF-Token可能也在响应头中,以及requests请求的时候要用Session,不然就会过期。
Django 之前端获取 csrftoken 的几种方式以及源码解释(超详细)
她°
06-10 4486
如果是前后端不分离的项目,django 为了防止 XSS 攻击,要求所有 form 表单提交时加上 标签,前端会再 html 中加入一个 input 标签 这个中间件就是来验证 csrf_token 如果没有加,就会出错,这个 token 每次刷新页面时都会刷新,客户在请求时。会再服务器端生成一个 token,然后放在 cookie里面,每次 post 请求都会带上这个 token,去和表单里面的去对比。官⽅⽂档中说到,检验token时,只⽐较secret是否和cookie中的secret值⼀样,⽽不是
Django CSRF(什么是CSRF?)\Django前后端分离csrf token获取方式
西京刀客
12-07 1510
Django CSRF 浏览器在发送请求的时候,会自动带上当前域名对应的cookie内容,发送给服务端,不管这个请求是来源A网站还是其它网站,只要请求的是A网站的链接,就会带上A网站的cookie。 浏览器的同源策略并不能阻止CSRF攻击。 什么是CSRFCSRF是Cross Site Request Forgery的缩写,翻译过来就是跨站请求伪造。 Django CSRF django为用户实现防止跨站请求伪造的功能,通过中间件django.middleware.csrf.CsrfViewMiddle
Java 关于爬取网站数据遇到csrf-token的分析与解决
DOBEONE玉苑的博客
03-24 6485
问题描述 在爬取某网站的时候遇到了问题,因为网站的避免CSRF攻击机制,无法获取到目标页面数据,而是跳转到一个默认页面。 关于CSRF 1、CSRF tokens是如何工作(详情请点击查引用源站点) 1、服务器发送给客户端一个token。 2、客户端提交的表单中带着这个token。 3、如果这个token不合法,那么服务器拒绝这个请求。 2、java 站点应对CS...
spring-security 前后分离如何获取csrf-token
n_rts的博客
02-16 4130
spingboot+security 前后端分离支持csrf
html token生成,如何在Java中提交带有生成值的隐藏csrf_token_login字段的html登录表单...
weixin_42512509的博客
06-09 282
我需要从网站自动下载文件。文件下载按钮只有在登录后才会显示,我提供了用户名和密码。在登录表单有两个隐藏字段其中之一是用生成的值csrf_token_login:如何在Java中提交带有生成值的隐藏csrf_token_login字段的html登录表单很清楚如何在Java(使用java.net.HttpURLConnection中),如果我刚才登录,该代码密码(在Using java.net.URL...
Android中使用HttpClient获取网站CSRF token
sad490的博客
02-25 1911
当登陆网站时,网站通常会进行csrftoken校验,这是为了防止所谓的CSRF攻击,通常csrftoken都放在用户的cookies中,本文主要讲解如何获取这个token,并如何使用这个token。一、获取cookies httpclient = new DefaultHttpClient(); HttpGet httpget = new HttpGet("你的网址"...
JWT 加密
T525174893的博客
04-26 541
什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该toke...
YII_CSRF_TOKEN
04-05
在Yii框架中,YII_CSRF_TOKEN是用于防止跨站请求伪造(CSRF)攻击的令牌。CSRF攻击是一种利用用户已经登录的身份进行恶意操作的攻击方式。通过在每个表单中添加一个隐藏字段YII_CSRF_TOKEN,并在后台验证该令牌的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值