Java 关于爬取网站数据遇到csrf-token的分析与解决

Java爬取网站遇CSRF-token问题解决思路
最新推荐文章于 2025-07-31 11:35:17 发布
最新推荐文章于 2025-07-31 11:35:17 发布
阅读量6.8k 收藏 10
点赞数 3
CC 4.0 BY-SA版权
分类专栏: java http 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_36751895/article/details/79676146

问题描述

在爬取某网站的时候遇到了问题,因为网站的避免CSRF攻击机制,无法获取到目标页面数据,而是跳转到一个默认页面。

关于CSRF

1、CSRF tokens是如何工作(详情请点击查引用源站点)

1、服务器发送给客户端一个token。
2、客户端提交的表单中带着这个token。
3、如果这个token不合法,那么服务器拒绝这个请求。

2、java 站点应对CSRF参考(详情请点击查引用源站点)
3、Laravel中如何避免CSRF攻击(详情请点击查引用源站点)

爬取站点分析

1、在http头信息可见X-CSRF-Token字段
这里写图片描述
2、X-CSRF-Token来源,meta标签截图
这里写图片描述

解决思路

1、获取请求前,先去请求一次这个链接地址的Host,在这一次请求中获取Token,以及Cookie
2、用获取到的Token和Cookie作为头信息去请求传入链接地址
3、相当于多请求了一次这个请求链接地址的Host,必须要注意的是确定获取的Host返回头信息中包含有Set-Cookie字段,以及返回的内容中有包含Token的mate标签,存在这两个条件的时候,这个解决流程才可能实现

实现代码

1、获取Cookie与Token

package dto.ajax;

import org.apache.commons.lang3.StringUtils;
import tool.GetUrlData;
import tool.RegexFinder;
import java.net.URL;
import java.net.URLConnection;
import java.util.List;

/**
 * Created by yuyu on 2018/3/23.
 * 获取处理CSRF需要的相关信息
 * 原理:
 *  每个用户Session生成了一个CSRF Token,
 *  该Token可用于验证登录用户和发起请求者是否是同一人,
 *  如果不是则请求失败。
 */
public class CsrfToken {
   
   

    String cookie;//用于请求的站点的cokie
    String csrf_token;//用于请求站点的密钥

    /**
     * 接收一个网站的host,设置接口请求需要的数据
     * 1、获取网站请求回来的Set-Cookie字段
     * 2、然后获取内容中的密钥
     *      <meta content="密钥" name="csrf-token" />
     *
     * @param url
     */
    public CsrfToken(String url) {
        //校验传输安全
        if(StringUtils.isNotBlank(url)){
            try{
                //设置请求的头信息.获取url的host
                String host=new URL(url).getHost();
                URLConnection connection= GetUrlData.getConnection("http://"+host,null);
                //获取请求回来的信息
                String data = GetUrlData.getStringByConnection(connection);
                //匹配token
                String metaRegex="<meta(.*?)\\/>";
                String tokenRegex="content=\"(.*?)\"";
                String tokenReplace="content=\"|\"";
                String tokenName="csrf-token"
最低0.47元/天 解锁文章

200万优质内容无限畅学
Python爬虫实战:深度解析网易云音乐QQ音乐评论数据抓取
2201_76125261的博客
05-10 599
页面内容通过JavaScript渲染生成,常规。页面内容通过加密的POST请求获取,常规。
java爬虫有token_JAVA爬虫实践(实践一:知乎)
weixin_34461414的博客
02-13 454
packagespider;importjava.io.BufferedReader;importjava.io.File;importjava.io.FileWriter;importjava.io.IOException;importjava.io.InputStream;importjava.io.InputStreamReader;importjava.io.PrintWriter;imp...
44.vue-element-admin在header里增加X-CSRFToken
坐忘了说画
06-05 531
是一种安全机制,用于跨站请求伪造保护。在Vue.js项目中,可能使用了Django框架,而Django要求所有的POST请求携带一个CSRF token来验证请求的合法性。
java实现CSRFToken
weixin_41320039的博客
08-27 267
我整理的一些关于【java】的项目学习资料(附讲解~~)和大家一起分享、学习一下:https://d.51cto.com/bLN8S1Java 实现 CSRF Token 的指南 在当今的 Web 安全环境中,防止跨站请求伪造(CSRF)攻击至关重要。而 CSRF Token 是防止这种攻击的一种有效手段。本文将指导你如...
抖音创作者发文风控参数分析 bd-ticket-guard-client-data
最新发布
此用户太懒,没有介绍
07-31 928
抖音创作者自动发布视频所需要的参数逆向 x-tt-session-dtrait bd-ticket-guard-client-data
java ajax csrf,Ajax请求设置csrf_token
weixin_28718769的博客
03-11 581
方式1通过获取隐藏的input标签中的csrfmiddlewaretoken值,放置在data中发送。$.ajax({url: "/cookie_ajax/",type: "POST",data: {"username": "chao","password": 123456,"csrfmiddlewaretoken": $("[name = 'csrfmiddlewaretoken']").val...
Java解决CSRF问题
椰汁菠萝
01-17 2656
CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 CSRF可以做什么? 你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚...
CSRF攻击防御,JAVA程序利用token前后端验证每一次请求进行防御
生活没有圈的博客
09-02 3586
整体思路是:访问页面就生成token,保存到session,并且前端将token放进header或者追加到请求地址最后面。后端拿到header或者请求中的token后比对sessionherder或者请求中的token是否一致,一致测是同一次请求。有效的防止了,攻击者不从规定页面请求接口进行篡改利用。 每次请求,地址或者header携带TOKEN到服务端验证,防止CSRF攻击 下面是JAVA后端工具类 package com.invoice.util; import java.io.IOException
从python脚本爬取快递100认知csrftoken
weixin_43868179的博客
07-01 3229
(1)首先登录快递100首页,此时先看下获取到的cookies,稍后会用到 (2)找到获取快递公司名称的异步请求 (3)找到获取快递信息的请求(此处是难点),先查看请求参数,type是上一步获取到的快递公司名,postid是快递单号,temp推测是随机数,phone不用填写 根据我上一篇博客来到对应的参数计算公式https://blog.youkuaiyun.com/weixin_43868179/artic...
爬取Leetcode的每日一题(Java/Python)
weixin_45394002的博客
11-03 8549
抓取Leetcode的每日一题信息 思路一(发送GraphQL Query获取数据) 参考文章:https://www.cnblogs.com/ZhaoxiCheung/p/9333476.html 接口分析 主要的数据存在于graphql/接口中: https://leetcode-cn.com/graphql/ 首页热门题目接口 是否AC状态查看接口 每日一题接口 构造 GraphQL Query来获取信息 在Headers下的Request Payload中我们可以看到一个query字段,这是我
Selenium解决动态渲染页面----爬取网易云音乐全部评论
laicom的博客
12-18 688
import requests from bs4 import BeautifulSoup #URL url = 'https://music.163.com/#/song?id=1405283464' #请求头 headers = { "User-Agent": 'Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (...
java判断用户是否在某一个区域登录_Java安全编码之CSRF
weixin_40002238的博客
12-02 331
此文章为该系列的第二篇。上一篇:Java安全编码之sql注入。简介CSRF攻击者可以利用该漏洞诱使用户执行他们不打算执行的操作。它允许攻击者从不同网站上攻击某一网站的某一用户。使他们执行一些非预期的操作。在这里实验的是我们登陆后,通过CSRF漏洞来修改用户的手机号。框架此次我们使用SpringBoot作为基础框架,登录框架采用shiro。这里没有具体的dao层配置说明SpringBoot...
Java 安全之:csrf攻击总结
weixin_30952103的博客
08-12 768
  最近在维护一些老项目,调试时发现请求屡屡被拒绝,仔细看了一下项目的源码,发现有csrf token校验,借这个机会把csrf攻击学习了一下,总结成文。本文主要总结什么是csrf攻击以及有哪些方法来防范,接下来会再写一篇文章,从源码中来学习一下实战中是如何防御csrf攻击的。   主要内容如下:   什么是CSRF攻击   几种常见的攻击类型   CSRF的特点   防护策略   总...
X-CSRF-Token
热门推荐
01-24 1万+
Odata服务HTTP测试总是出现烦人的 CSRF token validation failed (for all modifying requests)忽略下图中的报文错误 怀疑是服务器参数的设置问题,临时应急的话可以先针对这个服务把CSRF校验关掉 SICF找到这个服务 增加一个参数 Modifying request的CSRF这样的工作的: 用一个非修改(non-m...
Java web解决CSRF攻击漏洞
goodmentc的专栏
12-11 2064
一、概述 简单介绍一下csrf攻击漏洞。就是你的网站cookie和session信息可以被其他网站盗用,用于非法请求。 应用开发环境:IDEA+JDK1.8 开发框架:Spring boot +thymeleaf+shiro 测试:第三方安全公司渗透测试。 二、解决方法 这里只讲主动防御方法。 总体思路是:用户登录时,服务端分配一个随机token,存储到session里。用户进行其他请求时,从session里取出这个token放到请求头headers里,服务端收到请求时,从请求头里取出token,和sess
java爬虫有token_爬虫遇到 cookie动态变化 解决token 问题 服务器后端的token 非本地...
weixin_33572707的博客
02-13 591
Request URL:https://e.oppomobile.com/cpdS...Request Method:POSTStatus Code:200 OKRemote Address:223.202.194.21:443Referrer Policy:no-referrer-when-downgradeConnection:keep-aliveContent-Encoding:gzipCo...
x-csrf-token
weixin_30405421的博客
07-12 554
例子:$.ajaxSetup({headers: {'X-CSRF-TOKEN': $('input[name="_token"]').val()}}); 转载于:https://www.cnblogs.com/xiaoyao181/p/5664108.html
SAP OData 403 Forbidden X-CSRF-TOKEN
Wriprin 的技术博客
10-24 1577
SAP OData 403 Forbidden「X-CSRF-TOKEN」 Validierung des CSRF-Tokens fehlgeschlagen CSRF 令牌验证失败
java 爬虫 token,【跟我一起做爬虫】XX商家后台登录rohrToken的加密方式【更新】...
weixin_36247139的博客
03-12 513
心想,有什么难度啊,估计可能就藏在那个页面里5分钟后,坐在办公室和同事点了根烟,思考究竟是哪里出了问题简单总结一下页面2.png (441.58 KB, 下载次数: 0)2019-5-14 13:58 上传初步发现页面的内容都是经过JS渲染上去的,所以但从Chrome的开发人员看不出太多内容来,但是这时候就差不多知道这个站点一定用到了大量的JS点开筛选器,只显示JS,搜索"登录"这个词3.png ...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值