影刀HTTP请求——操作超时问题(有关”x-secsdk-csrf-token“参数校验和CSRF攻击)

已于 2024-09-23 15:00:37 修改
阅读量1k 收藏 7
点赞数 8
分类专栏: 影刀RPA 文章标签: http 网络协议 网络
于 2024-09-23 10:44:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_53027469/article/details/142420149
版权

        在这几天,一个稳定的稳定的应用接口请求报了操作超时,如图:

打开应用查找这条报错指令,发现是HTTP请求报的错,报的这个超时我有点懵,在这条指令的选项里有个设置超时时间的,但是这个如果请求超时,应该报的是《The request was canceled due to the configured HttpClient.Timeout of 30 seconds elapsing》而不是“操作超时”,而且第一次操作超时后,过一段时间,再次发请求,就可正常响应返回了

        所以,我怀疑是我们发请求的问题,不是关于请求超时问题,刚开始,我以为是请求参数的问题,因为这个接口的请求参数是有加密参数的,有可能是平台更新了算法,我们还在使用旧的算法,导致不稳定,会出现操作超时,后来就更新了加密算法。

        可是过一段时间后,还是会出现这个问题,怎么拼接参数都不行,还是不稳定,偶尔会出现这个问题,怎的是百思不得其解,抓耳挠腮啊,算了,还是抓原接口,使用postman调试仔,细查看一下有什么不同。

        果然,被我发现了不同的地方,原接口的headers是有“x-secsdk-csrf-token”这个协议头的,而在影刀请求的headers里是没有这个协议头的:

那么,有可能就是这个问题了,为什么,总结:
1、如果是我们请求超时,会报:《The request was canceled due to the configured HttpClient.Timeout of 30 seconds elapsing》,而不是操作失败。
2、加密算法已更新,请求其他接口是正常的。
3、参数拼接和cookie是完全正常的。
4、如果2和3错误,会一直报错,不可能一会成功一会不成功。

所以根据这个协议头NAME和我们知道的情况来判断,可能是网站检测到我们的请求,有可能是CSRF攻击,所以返回一个异常给我们。说到这个,也提一嘴,在做HTTP请求时,不要忽略了协议头重定向referer这个参数,很多友友都会觉得这个参数意义不大,但是说到CSRF攻击那就有意义了,有关CSRF攻击可以查看这篇博文,讲的非常细:https://blog.youkuaiyun.com/qq_43378996/article/details/123910614?spm=1001.2014.3001.5506

        刷新网页发现,发现这个参数是动态的,唉,那就慢慢找咯,又得掉几根头发咯。最后,皇天不负有心人,也是找到了,封装成一个通用的工具指令:

通过几天的测试,发现没有任何接口报操作超时的异常了,哈哈哈哈哈哈哈哈,开心的一批。后面跟同事聊才知道,原来是他当时在做这个接口时,以为这个参数没有特殊的校验,他就给删了。

获取抖音中x-secsdk-csrf-token的方法
sh_moranliunian的博客
11-27 1167
获取抖音中x-secsdk-csrf-token的方法
【微服务】springboot 整合 SA-Token 使用详解
congge
08-04 1万+
springboot 整合 SA-Token 使用详解
抖音WEB版关注点赞收藏功能2025.3更新
sinat_21963041的博客
08-25 1115
抖音WEB版关注点赞收藏功能
影刀RPA | 学会Http请求,快速获取B站搜索结果及其播放量等数据
2501_91112998的博客
04-19 251
以b站为例,我们可以快速爬取到B站的搜索结果,并获取到它的播放量等数据
http请求 题目-作者:【小可耐教你学影刀RPA】
weixin_46491772的博客
05-26 1239
1.进入这个网站:http://www.boxofficecn.com/the-red-box-office,获取排行榜中所有电影的相关数据,并存入指定数据库中。2.数据库信息:IP:43.143.30.32 端口号:3306 用户名:yingdao 密码:9527 库名:ydtest 表名:movies。1.打开”影刀商城“-”填填看“页面:https://shop.yingdao.com/fun/write-write-see。2.根据”填填看“游戏提示,下载”填填看数据“,编写影刀流程。
Postman神器解决影刀RPA中HTTP请求问题,状态码504错误
m0_53027469的博客
09-23 600
1. 代理服务器超时:当客户端向代理服务器发送请求时,代理服务器需要向上游服务器(如应用服务器)获取数据,如果代理服务器在规定的时间内无法从上游服务器获取响应,就会导致504网关超时错误。2. 上游服务器处理时间过长:如果上游服务器处理请求的时间超过了代理服务器的超时设置,代理服务器会认为上游服务器无法及时响应,从而返回504错误。(2)由于服务器响应时间较长导致的,可以尝试优化请求处理逻辑,例如减少请求的数据量等,以加快服务器的响应时间,或者延长请求超时时间。加到了60s,还是报这个错误。
案例:使用RPA工具影刀抓取HTTP数据(更便捷的数据抓取,复习HTTP协议、字典和列表)
stqer的博客
09-30 4236
使用轻量代码工具,简单几行实现复杂代码才能实现的功能,一可便于学习各涉及的理论知识,二可便于进一步学习使用语言进行编写,更加稳定。
影刀RPA | 不进入笔记详情页,批量下载小红书笔记视频/图片素材,http请求详解
最新发布
2501_91112998的博客
04-20 1291
而且还不能是小窗口打开,必须全页面显示才能看到,这就有点麻烦了,按这个方式采集,效率将大打折扣。爬取到的笔记内容是这样的,可以发现内容都,集中在这里,对数据进行下处理即可,处理结果如下。返回值是以字典形式的,对于图文笔记,返回的视频值为None,下载素材时可对视频变量做个判断。在使用影刀RPA获取小红书视频元素链接时,会发现获取到的链接是错误的,无法下载。随便打开一个笔记,在过滤框输入"feed""search"进行过滤。解决方式如下,在请求头headers中写入个人登录的Cookie值。
python csrf token_python爬虫如何获取X-CSRF-Token
weixin_39957647的博客
12-08 2321
headers3 = {"Accept": "application/json, text/javascript, */*; q=0.01","Accept-Encoding": "gzip, deflate","Accept-Language": "zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2","Connection":...
Java 关于爬取网站数据遇到csrf-token的分析与解决
DOBEONE玉苑的博客
03-24 6785
问题描述 在爬取某网站的时候遇到了问题,因为网站的避免CSRF攻击机制,无法获取到目标页面数据,而是跳转到一个默认页面。 关于CSRF 1、CSRF tokens是如何工作(详情请点击查引用源站点) 1、服务器发送给客户端一个token。 2、客户端提交的表单中带着这个token。 3、如果这个token不合法,那么服务器拒绝这个请求。 2、java 站点应对CS...
CSRF请求伪造&Referer同源&置空&配合XSS&Token值校验&复用删除
m0_70535581的博客
07-10 1797
CSRF请求伪造&Referer同源&置空&配合XSS&Token值校验&复用删除
安全-csrf详解文档
12-12
CSRF攻击能够在用户不知情的情况下,以用户身份伪造请求发送至受攻击网站,执行未授权的操作CSRF攻击通常以以下方式实施:当用户成功进行身份验证后,浏览器会得到一个标识其身份的cookie。只要不关闭浏览器或...
Invalid CSRF Token 'null' was found on the request parameter '_csrf' or header 'X-CSRF-TOKEN'.
WGH100817的博客
05-22 1146
1. 问题 前面几篇博客 spring security在集成spring boot的微服务框架后,实现了cas认证和权限控制。但是在使用 postman 进行调用的时候出现这个问题 HTTP Status 403-Invalid CSRF Token 'null' was found on the request parameter '_csr...
X-CSRF-Token
01-24 1万+
Odata服务HTTP测试总是出现烦人的 CSRF token validation failed (for all modifying requests)忽略下图中的报文错误 怀疑是服务器参数的设置问题,临时应急的话可以先针对这个服务把CSRF校验关掉 SICF找到这个服务 增加一个参数 Modifying request的CSRF这样的工作的: 用一个非修改(non-m...
使用影刀RPA中HTTP下载指令时,报错:“The SSL connection could not be established, see inner exception.”
m0_53027469的博客
10-14 737
使用影刀RPA中HTTP下载指令时,报错:“The SSL connection could not be established, see inner exception.”
x-csrf-token
weixin_30405421的博客
07-12 542
例子:$.ajaxSetup({headers: {'X-CSRF-TOKEN': $('input[name="_token"]').val()}}); 转载于:https://www.cnblogs.com/xiaoyao181/p/5664108.html
CSRF攻击与防御
Java/Android/IOS/前端/云计算
10-22 3012
发布时间:2012年08月28日 分享 推荐打印收藏 CSRF是Web应用程序的一种常见漏洞,其攻击特性是危害性大但非常隐蔽,尤其是在大量Web 2.0技术的应用背景下,攻击者完全可以在用户毫无察觉的情况下发起CSRF攻击。本文将对其基本特性、攻击原理、攻击分类、检测方法及防范手段做一个系统的阐述,并列举攻击实例。 文/H3C攻防团队 1 
爬虫请求头遇见了X-CSRF-Token和c-token如何解决
热门推荐
qq_39138295的博客
05-06 2万+
如果遇见了,大多都是对token的加密。 今天遇见了这样一个网站: 想要获取验证码图片。抓包获取之后: requests.post()请求啊,但是请求之后一直在被网站拒绝,一直在报403.。 后来回头重新看,才发现请求头中是有X-CSRF-Token和c-token来识别身份的。 这个网站比较简单,这两个值是一样的。 然后就找这两值所在的界面嘛。 全局搜索之后,发现这个是明文传输...
c# 网页html 操作超时,HTTPWEBREQUEST 操作超时很百思不解
weixin_28984379的博客
06-20 616
HTTPWEBREQUEST 操作超时很费解我在模拟请求[POST]一个网站的时候,一直连接不上去,总是提示我”操作超时HttpWebRequesthttpWebRequest=null;HttpWebResponsehttpWebResponse=null;try{byte[]byteRequest=Encoding.Default.GetBytes(postData);//...
ASGI-CSRF中间件:在Python应用中实现CSRF防御机制
最后,本文所提供的知识和信息,涵盖了ASGI中间件的作用、CSRF攻击的原理与防御、中间件的安装与用法、以及中间件标签和文件结构的相关信息。这有助于开发者更好地理解和实施CSRF防护措施,保障Web应用的安全。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

林丑丑@

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值