[Ktor]实现绕开 csrf_token 完成自动登录

说到 csrf_token 是个什么鬼呢,说白了就是一个 防止跨站请求伪造 的东西,关于 csrf 攻击和 csrf_token 的使用,网上已有很多文章,我不打算引用或是赘述。这里我只说,如何绕开 csrf_token 来完成一个模拟的登录。

通过抓包可以知道,在 flask 框架内,一个合法的带有 csrf_token 的请求,需要经过以下四个步骤:

1. 以 GET 方式请求登录页面,获得一个基础的 Cookie 值(其中包含 session 字段, 记为 co1)和 csrf_token
2. 使用 co1,以 POST 方式请求登录页面,传入登录所需的参数,获取登录后的 Cookie 值(其中包含 session 字段,记为 co2)
3. 使用 co2,以 GET  方式请求 "/" 页面
4. 使用 co2,以 GET 方式请求 “/home” 页面

经过以上 4 步,才可以完成一个带 csrf_token 的模拟登录。那么下面具体的来看每一步的实现代码:

一、拿 Cookie 值(co1) 和 csrf_token

var csrfToken = ""
var co1: Cookie? = null
http {
    url = "http://$IP:$PORT/login/?next=http%3A%2F%2F$IP%3A$PORT%2Fhome"
    method = HttpMethod.GET
    followRedirects = false
    onSuccess { _, text, _, cookie ->
        csrfToken = (text ?: "").split("\n").filter { it.trim().startsWith("var csrfToken = '") }[0].replace("var csrfToken = '", "").replace("';", "").trim()
        co1 = cookie.first().toKtorCookie()
        call.response.cookies.append(co1)
    }
}

其中有一个函数为 toKtorCookie(),是用来将 okhttp 的 cookie 转换为 ktor 的 cookie 的,具体实现如下:

fun okhttp3.Cookie.toKtorCookie() = Cookie(
    this.name,
    this.value,
    expires = GMTDate(this.expiresAt),
    domain = this.domain,
    path = this.path,
    secure = this.secure,
    httpOnly = this.httpOnly
)

现在我们有了一个基础的 cookie 和一个 csrf_token 了,接着来进行第二步。

二、进行登录

登录时需要传入 csrf_token,需要特别注意一下:

var co2: Cookie? = null
http {
    url = "http://$IP:$PORT/login/?next=http%3A%2F%2F$IP%3A$PORT%2Fhome"
    method = HttpMethod.POST
    followRedirects = false
    headers["Cookie"] = "${co1?.name}=${co1?.value}"
    postParam["csrf_token"] = csrfToken
    postParam["username"] = account
    postParam["password"] = password
    onSuccess { _, _, _, cookie ->
        co2 = cookie.first().toKtorCookie()
        call.response.cookies.append(co2)
    }
}

到了这里,其实模拟登录已经完成了,但是后面两步不能省略,如果不请求的话会引起登录态不正确。

三、请求 “/”

http {
    url = "http://$IP:$PORT/"
    method = HttpMethod.GET
    followRedirects = false
    headers["Cookie"] = "${co2?.name}=${co2?.value}"
}

四、请求 “/home”

http {
    url = "http://$IP:$PORT/home"
    method = HttpMethod.GET
    headers["Cookie"] = "${co2?.name}=${co2?.value}"
}

在此过程中,必须注意的是,前两步返回的 Cookie 必须写入 response,不写的话是无效的,也不能只写第二个。

其次就是最后的两步,绝对不能省,之前做到第二步,拿到了第二个 Cookie 后就以为大功告成,但是这是不对的,必须执行后面的两个请求才可以。

推荐阅读更多精彩内容