我需要登录一个站点,我可以通过 url.com/ssorequest?parameters=123 等 URL 来登录。如果这是在地址中输入的,我将登录并重定向到门户。
现在我应该以编程方式通过 http post 请求来执行此操作,但我无法让它工作,我被重定向到登录表单而不是门户,即我没有登录。
我使用 Fiddler 找出这两种方法之间的区别。我发现一些幕后的 get-requests 是不同的。浏览器 get-requests 将 cookie 数据发送到服务器,而 fiddlers post-request 则不会。
当我使用 fiddler 重复浏览器第一次调用时,它也不会发送 cookie 数据。所以它只有在我通过浏览器窗口进行操作时才有效。除非我在 fiddler 中使用断点并篡改包含 cookie 数据的请求。
问:为什么它在使用 http post 和从 Fiddler 完成请求时与浏览器的行为不同?
问:有没有什么方法可以在不编写我自己的 Fiddler 应用程序的情况下篡改在我的 C# 应用程序中以编程方式发出的请求?
最佳答案
您很可能遇到过 anti-forgery曲奇饼。它的工作方式是确保您使用首次请求并加载到浏览器中的页面登录,并且 cookie 仅对一个请求有效,因此如果您运行相同的请求, fiddler 将无法登录再次。
使用 C#,您首先必须请求登录页面并在 cookie 容器中获取此页面提供的 cookie。下次,当您将页面与数据一起发布时,您必须确保 cookie 附加在请求中。
编辑:
第 1 步:浏览网站上的任何页面。这将启动 session 。它还将为您提供 session cookie。
第 2 步:请求登录页面。将第一步中获得的 cookie 与登录页面一起发送,以便它可以识别 session 。这一步很关键。在此阶段,根据站点使用的安全系统,可能有两种情况。它要么将安全 cookie 与 session cookie 一起发送,要么将在表单中添加一个隐藏变量以及一个用作安全 token 的值。确保您获得此 token /cookie。
第 2 步:在登录页面(或表单操作导致的任何页面)上发布登录信息以及在第 1 步中获得的 cookie/ token 。如果它是 token ,请将其与登录一起包含在您的发布数据中信息或 cookie,将其添加到请求中。
关于c# - 以编程方式篡改 http 请求,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/15789752/