xhr请求有两个sessionid_接口测试:A06_HttpRunner关联_01_SessionID 问题引入

最新推荐文章于 2021-02-24 12:59:54 发布
最新推荐文章于 2021-02-24 12:59:54 发布 · 179 阅读 · 0
文章标签:

#xhr请求有两个sessionid #yii2 跳转 sessionid 会改变

介绍HTTP无状态特性及如何使用SessionID确保用户身份唯一性。通过提取并管理SessionID,实现跨请求的身份验证。

A06_HttpRunner关联_01_关于SessionID问题的引入

HTTP 是一个无状态的协议,每次请求之后不会留下任何痕迹。就像是有一个失忆的家伙,从来记不住是谁到过他家里,客人必须每来一次都重新告诉他姓名。如果碰到这么一个傻服务器,这就麻烦了,每访问一个页面都要重新输入一次用户名和密码,这肯定要让人崩溃的。

9867e0bfe32f44fb1f4d9c59ba3d3051.png

于是为了避免这种问题的发生,就需要一个机制来记忆每个用户的身份,即给每个客户发放一个凭证,因此 Cookie、Session、Token、JWT、OAuth2 等这些技术应运而生。那么我们在进行接口测试的时候,就需要把服务器第一次发给我们的这些凭证拿到,在后续请求中再把这些凭证传给服务器来验明正身。

这个过程主要涉及两个操作:

  1. 发送第一个请求(可以带上用户名密码等信息),从服务器的响应中提取凭证信息。
  2. 发送后续请求,请求中要附带前面取得的凭证信息,从而模拟前一个的用户身份。

案例分析

浏览器和服务器之间,通过一种 Cooke + Session 的技术,可以保证记住访问的用户及其身份,这样访问一个系统的时候,只要输入一次用户名和密码就可以了:

  • 浏览器首次访问服务器的时候,服务器返回一个唯一的 SessionID 编号(见图中红线部分)
  • 该 SessionID 对应于服务器中的某块存储空间(内存或数据库中),称之为 Session
  • 该 SessionID 通过响应头域“Set-Cookie”传递给浏览器端
  • 该 SessionID 被浏览器保存于临时“cookie”中
  • 后续该浏览器向该服务器发起的所有请求,都会把这个 SessionID 附带上
  • 一般登录成功后,服务器会将用户信息(如用户ID)保存到 Session 中
  • 服务器通过请求附带的“SessionID”找到对应的“Session空间”,再读取里面的用户信息,就可以判断用户身份了。

综上,在进行测试的时候,我们要模拟一个用户的请求,就要获取到该用户的 SessionID

3a84cfbd82e4ab60b6a10bcd3cf018be.png

访问登录页面,第一次请求,服务器返回的响应信息中,包括了需要提取的 sessionid

注意:

1. 在本被测系统中, SessionID 是保存在临时 Cookie 中的一个“键-值对”

2. 每次会话都会生成一个新的 SessionID(此会话期间各请求的SessionID不变),其中:

  • “键”的名称,前面部分是固定不变的,后面部分是可能会改变的
  • “值”的部分,每次会话都会不同
bef7ba74f15c4fb8c939c46210ff3a82.png

服务器返回的 SessionID 图解

需要解决的问题:

1. 从响应中提取 SessionID,为后续请求做准备

思路:将提取出来的 SessionID 保存到一个变量中,后续请求直接调用即可

2. 该系统中的 SessionID 名称是不固定的

思路:通过正则表达式的方式解决名称变化

ajax请求Session失效问题
10-23
它存储在服务器端,通常在用户的浏览器通过一个唯一的Session ID与之关联。当Session失效,通常是因为用户长时间未活动或者服务器进行了Session清理。在传统的HTTP请求中,如果Session失效,服务器通常会返回一个...
AJAX 请求区分 $_SERVER['HTTP_X_REQUESTED_WITH'] 小解
10-28
`$_SERVER['HTTP_X_REQUESTED_WITH']` 是一个在 PHP 中常见的用来识别 AJAX(Asynchronous JavaScript and XML)请求的变量。然而,很多人对这个变量的理解并不深入,常常将其误认为是 PHP 内置的自定义变量,而实际...
xhr请求两个sessionid_两个爬虫例子
weixin_39958631的博客
12-12 453
一个AJAX加载的网页目前多数网站都不会将数据直接放在HTML里,而是采用异步加载的方式,原始页面不包含数据,只是一些样式,在页面加载完后,向服务器发送AJAX请求,从其他接口获取数据,处理后在页面上展示。一些官方的网站数据,有不少是采用这种方式,比较典型的就是外汇交易中心里的一些数据,下面拿每日活跃债券统计这个功能做个例子。如何看是不是AJAX请求这种网站大家一般都见过,在左上角选择...
xhr请求两个sessionid_来,我们手写一个简易版的mock.js吧(模拟fetch && Ajax请求)...
weixin_39565390的博客
12-08 205
预期的mock的使用方式首先我们从使用的角度出发,思考编码过程M1. 通过配置文件配置url和responseM2. 自动检测环境为开发环境时启动Mock.jsM3. mock代码能直接覆盖global.fetch方法或者XMLHttpRequest构造函数,实现开发无感知M4. mock配置不影响实际的请求,可无缝切换为实际请求M1. 通过配置文件配置url和response比较符合我们使用习惯...
xhr请求两个sessionid_NGINX的简单请求与非简单请求
weixin_39715926的博客
12-01 221
简单请求和非简单请求首先我们来了解一下简单请求和非简单请求,如果同时满足下面两个条件,就属于简单请求请求方法是 HEAD、GET、POST 三种之一;HTTP 头信息不超过右边着几个字段:Accept、Accept-Language、Content-Language、Last-Event-IDContent-Type 只限于三个值 application/x-www-form-urlencode...
一个页面生成多个sessionid_从输入url到页面加载的过程
weixin_39756416的博客
11-20 368
前排附上参考连接,此文章总结自人类身份验证 - SegmentFault从浏览器接收url到开启网络请求线程我们知道浏览器是多进程的,有一个主控进程,以及每个tab页都会新开一个进程(某些情况多个tab会合并多个进程),进程可能包括:主控进程,插件进程,GPU进程,浏览器渲染进程(浏览器内核)每个tab页可以看作是一个浏览器内核进程,而浏览器内核又是多进程的,它有几大类子线程GUI线程JS引擎线程...
asp.net session 如何知道是哪个浏览器客户端_有没有了解过Session的生成机制、回收机制和存储机制...
weixin_39754398的博客
11-27 217
1、php中session的生成机制我们先来分析一下PHP中是怎么生成一个session的。设计出session的目的是保持每一个用户的各种状态来弥补HTTP协议的不足(无状态)。我们现在有一个疑问,我们都知道session是保存在服务器的,既然它用于保持每一个用户的状态那它利用什么来区别用户的呢?这个时候就得借助cookie了。当我们在代码中调用session_start();时,PHP会同时往...
xhr.zip_evidence5a8_thing1y8_xhr01_com_xhr11111.com_线性回归
09-15
线性回归是一种广泛应用的统计学方法,用于研究两个或多个变量之间的关系,特别是当一个变量如何随着其他变量的变化而变化。在这个上下文中,它可能被用来预测某个特定的目标变量,比如在给定某些特征的情况下预测...
xhrfilter::scissors_selector:一个轻量的,能够阻止前端请求重复提交的库
02-01
先行拦截xhr请求,如果请求未完成,此时如果又有相同的xhr请求,则取消掉此请求。如何确定是否为相同请求,简单的判断依据是:相同的网址以及相同的请求数据即为相同请求2.前端请求事件去抖,某种形式表单提交...
VB http POST.zip_POST_VB POST _http post_vb.net http post
09-23
本项目提供的"VB http POST.zip"包含了一个VB6的示例,演示了如何实现HTTP POST请求。下面我们将深入探讨这个知识点。 首先,了解HTTP POST的基本概念。POST是HTTP协议中的一个方法,它允许客户端(如浏览器或VB...
前后端分离产生两个session的解决方案
lusutao的博客
02-24 1027
在前端访问后端接口的时候,有时候会出现两个session,从而造成校验等错误。这时候需要前后端一起进行配置 前端 在 main.js中加入 axios.defaults.withCredentials=true; 后端在跨域配置类中加入 .allowCredentials(true); // 是否发送cookie ...
一文吃透sessionID和cookie
杰森写代码
07-24 2626
一、cookie机制和session机制的区别 具体来说cookie机制采用的是在客户端保持状态的方案,而session机制采用的是在服务器端保持状态的方案。 同时我们也看到,由于才服务器端保持状态的方案在客户端也需要保存一个标识,所以session 机制可能需要借助于cookie机制来达到保存标识的目的,但实际上还有其他选择 二、会话cookie和持久cookie的区别 如果不设置过期时间,则表示这个cookie生命周期为浏览器会话期间,只要关闭浏览器窗口,cookie就消失了。这种生命期为浏览会话
会话、Cookie、Session
夏初末未始的博客
09-09 282
HTTP协议是一种无状态的协议,作为 web 服务器,必须能够采用一种机制来唯一地标识一个用户,同时记录该用户的状态 WEB应用的会话状态是指WEB服务器与浏览器在会话过程中产生的状态信息,借助会话状态,WEB服务器能够把属于同一会话中的一系列的请求和响应过程关联起来。 需要浏览器对其发出的每个请求消息都进行标识:属于同一个会话中的请求消息都附带同样的标识号,而属于不同会话的请求消息总是附带...
Cookie和Session
渣渣想逆袭
02-24 637
一、会话的概念 会话可简单理解为:用户开一个浏览器,点击多个超链接,访问服务器多个web资源,然后关闭浏览器,整个过程称之为一个会话。 二、会话过程中要解决的一些问题 每个用户在使用浏览器与服务器进行会话的过程中,不可避免各自会产生一些数据,程序要想办法为每个用户保存这些数据。 三、保存会话数据的两种技术 1、Cookie Cookie意为"甜饼",是由W3C组织提出,最早由Netsc...
为什么两个浏览器会session重复
mdb1110的专栏
10-02 2242
<br />我用两个用户登陆系统,各使用IE8浏览器,当第二个用户登陆后,我刷新第一个用户的测试页面,结果获得的是第二个用户的值,<br />为什么两个浏览器会session重复,然后我用腾讯TT和IE8各使用一个用户测试,得出的结果是正常的,是不是session跟浏览器有很大的关系啊,<br /><br /><%<br />String controlvalue =(String)request.getSession().getAttribute("customercontrol");<br />out.
session保存密码_如何理解Cookie和Session
weixin_39593498的博客
11-19 304
测试工作中我们经常会听到这两个词,作为测试一定要理解这两个概念,对于测试应用的接口、业务理解很有帮助。Cookie和Session的作用?为什么会有这两个东西,首先明确一下HTTP协议的一个重要特点“无状态”,数据交换完成,服务端和客户端就断开连接了,所以请求之间没有相关联系,每一个请求都是一个独立的新请求,为了实现状态保留的,保证前后正常通信,需要在客户端或服务器端存储与会话相关的数据,所以设计...
就最近一段时间,就遇到了两次session id 一直变化的,所以做个总结。
热门推荐
rendeyishi的专栏
12-27 2万+
sessionid一直变化,1跨域 2session冲突
一个id = num_-188
最新发布
09-17
<think> 我们正在讨论如何通过F12开发者工具查看特定网页元素(id为"num_-188")对应的SQL ID。这里的关键点在于:SQL ID通常不会直接存储在HTML元素的属性中,而是通过JavaScript事件或网络请求与后端交互时传递的参数。我们需要追踪该元素触发的事件(如点击事件)所发送的网络请求,从请求参数中提取可能作为SQL查询条件的值(如数据库主键ID)。 以下是具体步骤: 1. **定位元素并检查属性**: - 打开F12开发者工具(快捷键F12或右键“检查”)。 - 在Elements面板中使用Ctrl+F搜索`id="num_-188"`,定位该元素。 - 检查该元素是否有自定义数据属性(如`data-id`、`data-key`等),这些属性可能存储与SQL ID相关的值。例如: ```html <div id="num_-188" data-sql-id="1001">...</div> ``` 如果存在类似属性,其值(如1001)可能是SQL查询使用的ID[^2][^5]。 2. **检查事件监听器**: - 在Elements面板中右键点击该元素,选择“Break on” → “subtree modifications”或“attribute modifications”(可选,用于调试动态变化)。 - 切换到Console面板,输入`getEventListeners(document.getElementById('num_-188'))`查看绑定的事件(需在Chrome中执行)。 - 如果存在点击事件,记录其调用的函数名(如`handleClick`)以便在Sources面板中查找源码。 3. **监控网络请求**: - 切换到Network面板,勾选“Preserve log”(防止页面跳转请求丢失)。 - 触发该元素的交互(如点击),观察新出现的网络请求(通常为XHR或Fetch类型)。 - 点击请求查看详情: - **Headers选项卡**:检查请求URL中的查询参数(如`?id=1001`)或请求体(Payload中的JSON字段如`{"id":1001}`)。 - **Response选项卡**:查看返回数据是否包含SQL ID(例如返回的JSON数据为`{"id": 1001, "value": "..."}`)。 4. **关联后端SQL映射**: - 若请求的URL为`/api/data/1001`,则`1001`可能直接作为SQL查询条件(如`SELECT * FROM table WHERE id = 1001`)。 - 若项目使用MyBatis等框架,可通过请求路径推测对应的Mapper方法(如`DataMapper.selectById`)进而找到XML中的SQL ID(如`<select id="selectById">`)[^5]。 ### 注意事项 - **动态生成ID**:类似`num_-188`的ID可能由前端框架动态生成(如Vue组件实例ID),此时需查找更稳定的数据属性(如`data-user-id`)。 - **负数ID处理**:`-188`可能表示临时数据标识而非真实数据库ID,需结合业务逻辑判断。 - **安全限制**:若请求需认证,需确保开发者工具打开时已登录。 若上述步骤无法直接获取SQL ID,可能需要结合后端日志或源码进一步分析(如查看控制器方法参数绑定)[^1][^5]。 §§相关问题§§ 1. 如何通过Chrome开发者工具监听特定元素的JavaScript事件? 2. 在MyBatis框架中,如何根据HTTP请求参数定位Mapper文件中的SQL语句? 3. 前端动态生成的元素ID(如`num_-188`)在调试时有哪些替代追踪方法? 4. 如何确保从网络请求中提取的ID参数与数据库主键正确映射? </think> ### 查看`id="num_-188"`网页元素对应SQL ID的方法 针对您查询的特定元素(ID为`num_-188`),以下是结合引用内容和F12工具的实操步骤: --- #### 1. **检查元素属性(Elements面板)** - 右键点击`num_-188`元素 → 选择"检查"(或按`Ctrl + Shift + C`直接定位) - 在**Elements面板**中查看其属性: - **关键属性**: ```html <div id="num_-188" data-sql-id="USER_001"> <!-- 类似data-sql-id的自定义属性 --> </div> ``` - 若存在`data-*`属性(如`data-id`、`data-key`),其值可能是SQL ID(例如`USER_001`),这类属性常存储数据库标识[^2]。 - 若属性值为负数(如`-188`),需检查JavaScript是否动态转换(步骤2)。 #### 2. **追踪事件绑定(Console面板)** - 在**Elements面板**右键元素 → 选择"Copy" → "Copy selector"(获取CSS选择器`#num_-188`) - 在**Console面板**输入: ```javascript // 查看绑定的事件监听器 getEventListeners(document.querySelector('#num_-188')) ``` - 观察输出中的`click`或`change`事件: ```javascript // 示例输出 { click: [{ listener: function(e) { fetch(`/api/data?id=${this.dataset.sqlId}`) // 提取SQL ID } }] } ``` 这里的`this.dataset.sqlId`可能包含SQL ID(如`USER_001`)[^5]。 #### 3. **分析网络请求(Network面板)** - 触发元素操作(如点击),在**Network面板**过滤XHR/Fetch请求 - 检查请求参数: - **URL参数**:如`/api/data?id=USER_001` - **请求体**:如JSON `{"id": "USER_001"}` - 结合引用[1]中的SQL模式: ```sql SELECT ... FROM user_id_info_new WHERE user_id = 'USER_001' -- 匹配请求参数[^1] ``` #### 4. **处理特殊ID值(如`-188`)** - **负数ID的可能含义**: - 临时生成的测试数据(如引用[3]的`Data`类中的`m/n`数值)[^3] - 数据库中的特殊标记(如冻结账户) - **转换逻辑**: 通过**Sources面板**调试关联的JavaScript文件,搜索`num_-`: ```javascript // 示例:将负数转换为正数ID const elementId = "num_-188"; const sqlId = elementId.split('_')[1].replace('-', 'ABS_'); // 输出"ABS_188" ``` --- ### 关键排查点 1. **属性优先**:检查`data-sql-id`等自定义属性(最快定位) 2. **动态生成**:若ID含负号,需调试JS转换逻辑(如`ABS()`函数) 3. **参数匹配**:网络请求中的参数值通常直接对应SQL WHERE条件[^1][^2] > 如果元素无显式属性,需结合后端日志验证:在Network面板复制请求cURL命令,模拟请求并比对数据库日志中的SQL ID执行记录[^5]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值