使用 python 请求获取 CSRF 令牌

Question

使用 python 请求获取 CSRF 令牌

Noa*_*ah 7 python csrf python-3.x python-requests

我目前正在使用 Python 请求，并且需要一个 CSRF 令牌来登录站点。根据我的理解 requests.Session() 获取 cookie，但显然我需要令牌。而且我想知道将它放在我的代码中的哪个位置。进口请求

user_name = input('Username:')
payload = {
'username': 'user_name',
'password': 'randompass123'
}


with requests.Session() as s:
p = s.post('https://examplenotarealpage.com', data=payload)

Run Code Online (Sandbox Code Playgroud)

Answer 1

Dip*_*ipu 14

请参阅以下代码示例。您可以直接使用它登录到仅使用 cookie 存储登录信息的网站。

import requests

LOGIN_URL = 'https://examplenotarealpage.com'
headers = {
    'accept': 'text/html,application/xhtml+xml,application/xml',
    'user-agent': 'Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/67.0.3396.99 Safari/537.36'
}

response = requests.get(LOGIN_URL, headers=headers, verify=False)

headers['cookie'] = '; '.join([x.name + '=' + x.value for x in response.cookies])
headers['content-type'] = 'application/x-www-form-urlencoded'
payload = {
    'username': 'user_name',
    'password': 'randompass123'
}

response = requests.post(LOGIN_URL, data=payload, headers=headers, verify=False)
headers['cookie'] = '; '.join([x.name + '=' + x.value for x in response.cookies])

Run Code Online (Sandbox Code Playgroud)

CSRF令牌有几个可能的位置。不同的网站使用不同的方式将其传递给浏览器。这里是其中的一些：

它可以带有响应标头，在这种情况下很容易获取。
有时页面元持有 CSRF 令牌。您必须解析页面的 html 内容才能获取它。为它找到合适的 CSS 选择器。看一个例子：
```
from bs4 import BeautifulSoup
soup = BeautifulSoup(response.text, 'lxml')
csrf_token = soup.select_one('meta[name="csrf-token"]')['content']
```
Run Code Online (Sandbox Code Playgroud)
它可以在带有 JavaScript 代码的脚本标签内。得到它会很棘手。但是，您始终可以使用正则表达式来隔离它。

Answer 2

小智 5

import requests
from bs4 import BeautifulSoup
headers = {'user-agent': 'Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 
           (KHTML, like Gecko) Chromium/80.0.3987.160 Chrome/80.0.3987.163 
           Safari/537.36'
 }
login_data = {
             'name' : 'USERNAME',
             'pass' : 'PASSWORD',
             'form_id':'new_login_form',
             'op':'login'
  }

with requests.Session() as s:
    url = 'https://www.codechef.com/'
    r = s.get(url,headers=headers,verify=False)
    #print(r.content) # to find name of csrftoken and form_build_id
    soup = BeautifulSoup(r.text, 'lxml')

    csrfToken = soup.find('input',attrs = {'name':'csrfToken'})['value']
    form_build_id = soup.find('input',attrs = {'name':'form_build_id'}) 
    ['value']

    login_data['csrfToken'] = csrfToken
    login_data['form_build_id'] = form_build_id

    r = s.post(url,data=login_data,headers = headers)
    print(r.content)

Run Code Online (Sandbox Code Playgroud)

您可以直接使用它，但需要更改的内容很少：
1.在浏览器网络选项中检查您的用户代理
2.通过 print(r.content) 检查 csrf-token 和 form_build_id 的名称属性，并找到 csrftoken 和 form- build-id 并检查它们的 name 属性。

最后一步：

在您的r.content中搜索 logout，如果是他们的，那么您就登录了。

归档时间：	7 年，9 月前
查看次数：	20749 次
最近记录：	6 年前