Scrapy 2.6.2 代理设置,Proxy-Authorization 安全漏洞修复

已于 2022-08-24 21:24:31 修改
阅读量4.6k 收藏
点赞数
分类专栏: python 爬虫 文章标签: Scrapy 代理 Proxy-Authorization HttpProxyMiddleware 安全更新
于 2022-08-24 18:38:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yy_rose/article/details/126500936
版权

Scrapy 2.6.2

在最新版本的 Scrapy 2.6.2 (2022-07-25) 中,更新了 Proxy-Authorization 的处理逻辑,代理的设置方式也需进行相应的更改:

官方文档:Release notes — Scrapy 2.6.2 documentation

httpproxy 源码:scrapy.downloadermiddlewares.httpproxy — Scrapy 2.6.2 documentation

根据官方描述,相关逻辑编写在 HttpProxyMiddleware 类中,源码文件在本地的路径为:

Python 安装路径\Lib\site-packages\scrapy\downloadermiddlewares\httpproxy.py,相关代码位置:

def process_request(self, request, spider):
    creds, proxy_url = None, None
    if 'proxy' in request.meta:
        if request.meta['proxy'] is not None:
            creds, proxy_url = self._get_proxy(request.meta['proxy'], '')
    elif self.proxies:
        parsed = urlparse_cached(request)
        scheme = parsed.scheme
        if (
            (
                # 'no_proxy' is only supported by http schemes
                scheme not in ('http', 'https')
                or not proxy_bypass(parsed.hostname)
            )
            and scheme in self.proxies
        ):
            creds, proxy_url = self.proxies[scheme]
​
    self._set_proxy_and_creds(request, proxy_url, creds)
    
def _set_proxy_and_creds(self, request, proxy_url, creds):
    if proxy_url:
        request.meta['proxy'] = proxy_url
    elif request.meta.get('proxy') is not None:
        request.meta['proxy'] = None
    if creds:
        request.headers[b'Proxy-Authorization'] = b'Basic ' + creds
        request.meta['_auth_proxy'] = proxy_url
    elif '_auth_proxy' in request.meta:
        if proxy_url != request.meta['_auth_proxy']:
            if b'Proxy-Authorization' in request.headers:
                del request.headers[b'Proxy-Authorization']
            del request.meta['_auth_proxy']
    elif b'Proxy-Authorization' in request.headers:
        del request.headers[b'Proxy-Authorization']

要想在保留代理的条件下删除代理凭据,需要删除 Proxy-Authorization,若一开始在请求中定义了 proxy,例如 request.meta['proxy'] = “http://username:password@some_proxy_server:port,Scrapy 会自动在请求头中设置 Proxy-Authorization,若请求头中已经设置了 Proxy-Authorization,则会导致其被删除掉,所以如果同时定义了 proxy 和 Proxy-Authorization,代码就会报错,例如:scrapy.core.downloader.handlers.http11.TunnelError: Could not open CONNECT tunnel with proxy XXXXXX:XXX [{'status': 407, 'reason': b'XXXXXXX'}]

以往在 scrapy 中设置代理的方法

1. 在 middlewares.py 中配置

方法一:

class ProxyDownloaderMiddleware:
    def process_request(self, request, spider):
        proxy = "some_proxy_server:port"
        request.meta['proxy'] = "http://%(proxy)s" % {'proxy': proxy}
        # 用户名密码认证
        request.headers['Proxy-Authorization'] = basic_auth_header('username', 'password')
        request.headers["Connection"] = "close"
        return None

方法二:

class ProxyDownloaderMiddleware:
    def process_request(self, request, spider):
        request.meta['proxy'] = "http://some_proxy_server:port"
        proxy_user_pass = "username:password"
        encoded_user_pass = base64.encodestring(proxy_user_pass)
        request.headers['Proxy-Authorization'] = 'Basic ' + encoded_user_pass
        request.headers["Connection"] = "close"
        return None

上述两种方法还需要在 settings.py 中进行如下配置:

DOWNLOADER_MIDDLEWARES = {
   'dltest.middlewares.ProxyDownloaderMiddleware': 100,
}
​
ROBOTSTXT_OBEY = False

2. 在 spider.py 中配置

    def start_requests(self):
        url = "代理测试网址"
        proxy = {'proxy': 'https://username:password@some_proxy_server:port'}
        yield scrapy.Request(url, callback=self.parse, meta=proxy)
​
    def parse(self, response):
        print(response.text)

Scrapy 2.6.2 中设置代理的方法

在 Scrapy 2.6.2 中前两个方法都会报错,可以改为以下方式,HttpProxyMiddleware 会自动在请求头中添加 Proxy-Authorization:

class ProxyDownloaderMiddleware:
    def process_request(self, request, spider):
        proxy = "username:password@some_proxy_server:port"
        request.meta['proxy'] = "http://%s" % proxy
        request.headers["Connection"] = "close"
        return None

跟之前一样直接在 spider.py 中配置也是可以的,还有一种方式就是将 httpproxy.py 文件中的最后两行代码注释掉也能正常运行,但是不建议使用这种方式,因为官方这么更改是为了防止代理凭据的意外泄漏,肯定是做过大量调研后决定的方案,详细安全漏洞修复说明可以阅读官方文档:

# elif b'Proxy-Authorization' in request.headers:
#    del request.headers[b'Proxy-Authorization']

scrapy 使用代理服务proxy-master时,proxy-master报错(无法连接redis)
yeyiboy的博客
08-03 3350
如无法连接Redis,报错: 1、进入ProxyPool-master\ProxyPool-master\proxypool 2、修改db.py中与redis建立连接的所有zadd方法,修改方法如下: zadd只能接收两个参数,所以需要把三个参数改成两个 def add(self, proxy, score=INITIAL_SCORE): if not re.match('\d...
身份验证漏洞,花三分钟看完这篇文章你就懂了
m0_61369275的博客
04-07 1057
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
请求首部:Proxy-Authorization
program is a art
04-07 2836
接收到从代理服务器发来的认证质询时,客户端会发送包含首部字段Proxy-Authorization的请求,以告知服务器认证所需要的信息 这个行为是与客户端和服务器之间的HTTP访问认证相类似,不同之处在于,认证行为发生在客户端与代理之间.客户端与服务器之间的认证,使用首部字段Authorization可起到相同作用 Proxy-Authorization:Basic dglwOjkpN...
Scrapy爬虫代理配置指南:让你的爬虫如虎添翼
2401_87251497的博客
09-25 793
代理IP,顾名思义,就是代理服务器的IP地址。当我们通过代理IP访问目标网站时,目标网站看到的并不是我们真实的IP地址,而是代理服务器的IP地址。这样一来,不仅可以隐藏我们的真实IP,还可以绕过一些IP限制,提高爬虫的成功率。
scrapy移除Proxy-Authorization头部信息
qq_35045170的博客
10-22 1421
项目使用scrapy框架抓取某网站,代理使用讯代理的自动转发。在程序运行后发现,返回值为auth fail, no auth header。网站为https协议。 检查源码发现,scrapy框架自动去除了Proxy-Authorization的头部信息,导致代理不可用。 解决办法:进入\site-packages\scrapy\core\downloader\handlers\http11.py注...
身份验证漏洞
Au_Wind的博客
01-25 1012
身份验证漏洞
Scrapy框架进阶攻略:代理设置、请求优化及链家网实战项目全解析
m0_74087660的博客
08-16 1536
本文深入探讨了Scrapy框架的进阶知识,包括代理IP池与隧道代理的添加、重试机制的改写、两种请求方式、个性化配置、三种加Headers的方式及Request中meta的使用。最后,通过链家网二手房爬取项目实战,全面展示了Scrapy的高级应用技巧。
scrapy_redis-0.6.8-py2.py3-none-any.whl
04-17
scrapy_redis-0.6.8-py2.py3-none-any.whl 使用方式 pip install xx.whl 即可
Python3版本第三方库Scrapy的安装包,Scrapy-2.2.0-py3-none-any.whl
07-12
Python3版本第三方库Scrapy的安装包,Scrapy-2.2.0-py3-none-any.whl下载请注意Python版本3
Python库 | scrapy-amazon-robot-middleware-jondot-0.2.3.tar.gz
03-10
而`scrapy-amazon-robot-middleware-jondot-0.2.3.tar.gz`是针对Amazon网站的一个特定中间件,它扩展了Scrapy的功能,帮助开发者在爬取亚马逊网站时避免违反Robots.txt协议。 Robots.txt是一个网页服务器上的文本...
docs-scrapy-org-en-1.8.zip
04-10
这个名为"docs-scrapy-org-en-1.8.zip"的压缩包包含了Scrapy 1.8版本的官方英文文档,是学习和理解Scrapy框架的重要资源。以下是基于Scrapy 1.8版本的几个关键知识点的详细说明: 1. **Scrapy架构**:Scrapy基于...
HTTP协议的头信息详解
01-06
HTTP协议的头信息详解,包含:通用头域、常见的HTTP返回码、客户端发送的内容、服务器返回的消息等
BurpSuite练兵场系列之服务器端漏洞篇 - 身份验证专题
weixin_50464560的博客
08-15 1453
https://www.anquanke.com/post/id/245533 robots   本系列介绍 PortSwigger是信息安全从业者必备工具burpsuite的发行商,作为网络空间安全的领导者,他们为信息安全初学者提供了一个在线的网络安全学院(也称练兵场),在讲解相关漏洞的同时还配套了相关的在线靶场供初学者练习,本系列旨在以梨子这个初学者视角出发对学习该学院内容及靶场练习进行全程记录并为其他初学者提供学习参考,希望能对初学者们有所帮助。   梨子有话说 梨子也算是W
HTTP代理授权方式介绍
D0126_的博客
08-10 1952
而为了确保代理的正常使用,并避免被滥用,代理服务商通常会采用授权方式。在本文中,我们将介绍几种常见的HTTP代理授权方式,以帮助你更好地理解和使用代理。通过了解不同的授权方式,我们能够更好地选择适合自己需求的代理,并将其应用于我们的爬虫项目中。有些代理服务商要求在请求头的"Proxy-Authorization"字段中添加代理认证信息。有些代理服务商要求在发送请求时,在代理地址中加入用户名和密码进行身份验证。三、使用代理认证标头的授权方式(Proxy-Authorization
python http proxy 驗証
liukeforever的专栏
04-08 5786
sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)     sock.connect(('172.17.5.53', 80)) sock.send('GET http://www.google.com HTTP/1.1/r/nAccept-Encoding: identity/r/nHost: www.google.com/r/nProxy-Authorization: Basic bGs6MjAwMg==/r/nConnection: c
6.7 代理认证
用不完的好奇心
10-21 2101
代理可以作为访问控制设备使用。 代理认证(proxy authentication):由 HTTP 定义,这种机制可以阻止对内容的请求,直到用户向代理提供了有效的访问权限证书为止。 对受限内容的请求到达一台代理服务器时,代理服务器可以返回一个要求使用访问证书的 407 Proxy Authorization Required 状态码,以及一个用于描述怎样提供这些证书的 Proxy-Authenti
authorizeHttpRequests
最新发布
yyzz7579的博客
10-15 639
是 Spring Security 中用于配置 HTTP 请求授权的一个关键方法,它允许你根据特定的 URL 模式或请求属性来定义授权规则。还可以结合 Spring Security 的其他功能,如自定义 403 异常返回处理等,来提供更友好的用户体验和安全保障。支持链式写法,使得配置更加简洁和易读。连接多个匹配规则和授权策略,形成一条完整的授权链。:要求用户具有列表中的任何一个角色或权限。:要求用户具有指定的角色或权限。:要求用户已认证(即已登录)其他所有请求都需要用户已认证。
OAuth2.0中的安全漏洞及避免方法:使用OAuth2.01.0B协议实现
AI天才研究院
07-14 2292
作者:禅与计算机程序设计艺术 什么是 OAuth2.0? OAuth(Open Authorization)是一个开放授权标准协议,它允许第三方应用访问用户在某些网站上存储的私密信息,如照片、邮箱、联系方式等。OAuth 是建立在Oauth Core 1.0协议规范之上的一个子协议,该
python ip动态代理_python 中的代理设置问题
weixin_39932455的博客
12-02 329
2018-10-15 16:57:47 [scrapy.core.engine] INFO: Spider opened2018-10-15 16:57:47 [scrapy.extensions.logstats] INFO: Crawled 0 pages (at 0 pages/min), scraped 0 items (at 0 items/min)2018-10-15 16:57:47...
提示错误scrapy crawl myspider Scrapy 2.6.2 - no active project Unknown command: crawl Use "scrapy" to see available commands
03-25
这个错误提示表明Scrapy没有找到当前活动的项目,并且无法识别命令“crawl”。这可能是由于以下几个原因之一: 1. 您没有在Scrapy项目目录中运行“scrapy crawl”命令。确保您已切换到项目目录并运行该命令。 2. 您没有正确配置您的Scrapy项目。确保您已正确设置项目,包括项目名称和过滤器列表。 3. 您使用的版本不受支持。确保您使用的是支持版本的Scrapy。 尝试通过以下步骤解决此问题: 1. 确保您已切换到Scrapy项目目录中,然后运行“scrapy crawl myspider”命令。 2. 如果您没有正确配置项目,请执行以下操作: - 创建项目:在终端中输入“scrapy startproject myproject”(将项目名称替换为您的项目名称)。 - 打开“settings.py”文件并设置项目名称:在文件中添加“BOT_NAME = 'myproject'”行(将项目名称替换为您的项目名称)。 - 在“settings.py”文件中添加过滤器:在文件末尾添加以下行: SPIDER_MODULES = ['myproject.spiders'] NEWSPIDER_MODULE = 'myproject.spiders' 3. 确保您正在使用支持版本的Scrapy。目前,在Scrapy2.1及更高版本中支持“crawl”命令。如果您的版本过低,请尝试升级Scrapy
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值