2. 程式人生 > >Java 關於爬取網站資料遇到csrf-token的分析與解決

Java 關於爬取網站資料遇到csrf-token的分析與解決

阿新 發佈:2019-02-16

問題描述

在爬取某網站的時候遇到了問題,因為網站的避免CSRF攻擊機制,無法獲取到目標頁面資料,而是跳轉到一個預設頁面。

關於CSRF

1、伺服器傳送給客戶端一個token。
2、客戶端提交的表單中帶著這個token。
3、如果這個token不合法,那麼伺服器拒絕這個請求。

爬取站點分析

1、在http頭資訊可見X-CSRF-Token欄位
這裡寫圖片描述
2、X-CSRF-Token來源,meta標籤截圖
這裡寫圖片描述

解決思路

1、獲取請求前,先去請求一次這個連結地址的Host,在這一次請求中獲取Token,以及Cookie
2、用獲取到的Token和Cookie作為頭資訊去請求傳入連結地址
3、相當於多請求了一次這個請求連結地址的Host,必須要注意的是確定獲取的Host返回頭資訊中包含有Set-Cookie欄位,以及返回的內容中有包含Token的mate標籤,存在這兩個條件的時候,這個解決流程才可能實現

實現程式碼

1、獲取Cookie與Token

package dto.ajax;

import org.apache.commons.lang3.StringUtils;
import tool.GetUrlData;
import tool.RegexFinder;
import java.net.URL;
import java.net.URLConnection;
import java.util.List;

/**
 * Created by yuyu on 2018/3/23.
 * 獲取處理CSRF需要的相關資訊
 * 原理:
 *  每個使用者Session生成了一個CSRF Token,
 *  該Token可用於驗證登入使用者和發起請求者是否是同一人,
 *  如果不是則請求失敗。
 */
 

public class CsrfToken {

    String cookie;//用於請求的站點的cokie
    String csrf_token;//用於請求站點的金鑰

    /**
     * 接收一個網站的host,設定介面請求需要的資料
     * 1、獲取網站請求回來的Set-Cookie欄位
     * 2、然後獲取內容中的金鑰
     *      <meta content="金鑰" name="csrf-token" />
     *
     * @param url
     */
    public CsrfToken(String url) {
        //校驗傳輸安全
 

        if(StringUtils.isNotBlank(url)){
            try{
                //設定請求的頭資訊.獲取url的host
                String host=new URL(url).getHost();
                URLConnection connection= GetUrlData.getConnection("http://"+host,null);
                //獲取請求回來的資訊
                String data = GetUrlData.getStringByConnection(connection);
                //匹配token
                String metaRegex="<meta(.*?)\\/>";
                String tokenRegex="content=\"(.*?)\"";
                String tokenReplace="content=\"|\"";
                String tokenName="csrf-token";//mate中的名稱
                //獲取mate頭資訊
                List<String> mate=RegexFinder.getAllToList(metaRegex ,data);
                for (String info :mate){
                    if (info.indexOf(tokenName)>0){
                        //取出對應的金鑰
                        this.csrf_token=RegexFinder.findOneByReplaceEmpty(tokenRegex
                                ,info,tokenReplace);
                    }
                }
                //獲取cookie頭資訊
                this.cookie = connection.getHeaderField("Set-Cookie");
                //胡羅內容以外的欄位
                String regexCookie="\\S+=(.*?);";
                if (this.cookie!=null){
                    this.cookie=RegexFinder.findOne(regexCookie,this.cookie);
                }

            }catch (Exception e){
                e.printStackTrace();
            }
        }
    }

    public String getCookie() {
        return cookie;
    }

    public void setCookie(String cookie) {
        this.cookie = cookie;
    }

    public String getCsrf_token() {
        return csrf_token;
    }

    public void setCsrf_token(String csrf_token) {
        this.csrf_token = csrf_token;
    }
}

2、正則工具類

package tool;

import org.springframework.util.StringUtils;

import java.util.ArrayList;
import java.util.List;
import java.util.regex.Matcher;
import java.util.regex.Pattern;

/**
 * Created by yy on 2017/12/19.
 * 用於正則的工具類
 */
public class RegexFinder {

    /**
     * 匹配一個數據與正則,返回匹配的資料
     *
     * @param regex
     * @param info
     * @return
     * @throws Exception
     */
    public  static String findOne(String regex,String info){
        Pattern pattern = Pattern.compile(regex);
        Matcher matcher = pattern.matcher(info);
        if(matcher.find()){
            return matcher.group();
        }
        return null;
    }

    /**
     * 匹配一個數據與正則,返回匹配的資料
     *
     * @param regex
     * @param info
     * @return
     * @throws Exception
     */
    public  static String findOneByReplaceEmpty(String regex,String info,
                                                            String replace){
        Pattern pattern = Pattern.compile(regex);
        Matcher matcher = pattern.matcher(info);
        if(matcher.find()){
            return matcher.group().replaceAll(replace,"");
        }
        return null;
    }

    /**
     * 獲取正則匹配全部可能,到list資料
     * @param regex
     * @param info
     * @return 成功返回一個
     */
    public  static List<String> getAllToList(String regex,String info){
        //資料安全校驗
        if(StringUtils.isEmpty(regex)||StringUtils.isEmpty(info)){
            return null;
        }
        List<String> back=new ArrayList<String>();
        Pattern pattern = Pattern.compile(regex);
        Matcher matcher = pattern.matcher(info);
        while (matcher.find()){
            back.add(matcher.group());
        }
        return back;
    }

    /**
     * 獲取正則匹配全部可能,到list資料,替換字元中得資料
     * @param regex
     * @param info
     * @param replace
     * @return
     */
    public  static List<String> getAllToListByReplaceEmpty(String regex,String info
            , String replace) {
        //資料安全校驗
        if(StringUtils.isEmpty(regex)||StringUtils.isEmpty(info)){
            return null;
        }
        List<String> back=new ArrayList<String>();
        Pattern pattern = Pattern.compile(regex);
        Matcher matcher = pattern.matcher(info);
        while (matcher.find()){
            back.add(matcher.group().replaceAll(replace,""));
        }
        return back;
    }
}

3、爬取呼叫邏輯

package tool;

import dto.ajax.CsrfToken;
import org.apache.commons.lang3.StringUtils;

import java.io.BufferedReader;
import java.io.InputStream;
import java.io.InputStreamReader;
import java.net.URL;
import java.net.URLConnection;
import java.util.HashMap;
import java.util.Map;


/**
 * Created by yy on 2017/10/17.
 * 獲取url資訊的工具類
 */
public class GetUrlData {
    /**
     * 破解X-CSRF-Token 跨站請求偽造限制
     * @param url
     * @return
     * @throws Exception
     */
    public static String getX_CSRF_Token(String url) throws Exception{

        CsrfToken  csrfToken=new CsrfToken(url);
        //設定頭資訊
        Map<String,String> args=new HashMap<String, String>();
        args.put("Cookie",csrfToken.getCookie());
        args.put("X-CSRF-Token",csrfToken.getCsrf_token());
        args.put("X-Requested-With","XMLHttpRequest");
        args.put("Accept","application/json, text/javascript, */*; q=0.01");

        URLConnection connection=GetUrlData.getConnection(url,args);
        //獲取資料
        return GetUrlData.getStringByConnection(connection);
    }

    /**
     * 根據傳入的資料獲取URLConnection物件
     * @param url
     * @param mapArgs
     * @return
     * @throws Exception
     */
    public static URLConnection getConnection(String url, Map<String,String> mapArgs)throws Exception{
        //設定請求的頭資訊
        URL urlInfo = new URL(url);
        URLConnection connection = urlInfo.openConnection();
        //設定傳入的頭資訊
        if (mapArgs!=null){
            for(String key:mapArgs.keySet()){
                connection.addRequestProperty(key,mapArgs.get(key));
            }
        }
        //設定預設頭資訊
        connection.addRequestProperty("Host", urlInfo.getHost());
        connection.addRequestProperty("Connection", "keep-alive");
        connection.addRequestProperty("Cache-Control", "max-age=0");
        connection.addRequestProperty("Upgrade-Insecure-Requests", "1");
        //表示使用者不願意目標站點追蹤使用者個人資訊。
        connection.addRequestProperty("DNT", "1");
        //強制要求快取伺服器在返回快取的版本之前將請求提交到源頭伺服器進行驗證。
        connection.addRequestProperty("Pragma", "no-cache");
        connection.addRequestProperty("Accept", "*/*");
        connection.addRequestProperty("User-Agent", "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/64.0.3282.140 Safari/537.36");
        connection.addRequestProperty("Referer", "http://"+urlInfo.getHost());
        connection.connect();

        return connection;
    }

    /**
     * 將獲取的連結讀取對應的資料
     * @param connection
     * @return
     */
    public static String getStringByConnection(URLConnection connection) throws Exception{
        //定義返回資料的格式
        InputStreamReader input = new InputStreamReader(connection.getInputStream(),"UTF-8");
        BufferedReader reader = new BufferedReader(input);
        StringBuilder data = new StringBuilder();
        String str;
        while ((str = reader.readLine()) != null) {
            data.append(str);
        }
        //關閉操作流
        reader.close();
        input.close();
        return data.toString();
    }
}

4,測試程式碼

@Test
    public void testGet(){
        String url = "需要請求的地址";
        try{
            System.out.println(GetUrlData.getX_CSRF_Token(url));
        }catch (Exception e){
            e.printStackTrace();
        }

    }

執行結果

1、正常獲取時無法獲取目標頁面,拿到的時預設頁面資料截圖
這裡寫圖片描述
2、執行以上的程式碼時獲取的資料截圖
這裡寫圖片描述
這裡寫圖片描述

總結

1、不同的站點有不同的處理機制,所以以上的程式碼只是一個解決的思路,並不是適合所有的爬取
2、有些站點請求的Host並不返回Set-Cookie欄位,這時候需要找到返回該欄位的請求來獲取
3、以上的程式碼只對於特定的mate標籤的起作用,要是應對不同的站點,需要因用不同的對策獲取

相關推薦

Java 關於網站資料遇到csrf-token分析解決

問題描述 在爬取某網站的時候遇到了問題,因為網站的避免CSRF攻擊機制,無法獲取到目標頁面資料,而是跳轉到一個預設頁面。 關於CSRF 1、伺服器傳送給客戶端一個token。 2、客戶端提交的表單中帶著這個token。 3、如果這

java爬蟲網站資料例項

WebSite web = new WebSite(“https://www.bdqnhyq.com”);</font></font><font></font><font style="vertical-align: inherit;"><fo

scrapy框架 用post 網站資料 的兩種方法區別

post請求,一定要重新呼叫父類的 start_requests(self)方法 方法1:(推薦) 重構start_requests def start_requests(self): data = { 'source': 'index_na

利用linux curl網站資料

看到一個看球網站的以下截圖紅色框資料,想爬取下來,通常爬取網站資料一般都會從java或者python爬取,但本人這兩個都不會,只會shell指令碼,於是硬著頭皮試一下用shell爬取,方法很笨重,但旨在結果嘛,呵呵。 2.首先利用curl工具後者wget工具把整個網站資料爬取下來 &nbs

無搜尋條件根據url獲取網頁資料(java網頁資料)

jsoup jar包 <dependency> <groupId>org.jsoup</groupId> <artifactId>jsoup</artifactId> <version>1.11.3<

有搜尋條件根據url抓網頁資料(java網頁資料)

最近有一個任務抓取如下圖的網頁資料  要獲取前一天的資料進行翻頁抓取資料並存入資料庫   如果就只是抓取當前頁的資料  沒有條件和翻頁資料 這個就比較簡單了 但是要選取前一天的資料,還有分頁資料 一開始的思路就想錯了(開始想的是觸發查詢按鈕和

手把手教你利用前端字型檔案(.ttf)混淆數字來阻止爬蟲網站資料

先上一張效果圖 假如 正確的數字是321456 這時候使用者看到的就是對的 而爬蟲在抓取資料的時候 抓到得是123456 混淆了數字 怎麼實現呢? 工具: 1、FontCreator (中文漢化破解版) 當然英語好或者土豪的可以無視 2、做好的字型圖片 步

Express + Node 網站資料

前言 因為自己寫的demo需要歷史天氣的統計資料,但是國內很難找到免費的api介面,很多都需要付費和稽核。而國外的網站雖然免費但需要提前知道觀測站,城市id等資訊。所以就有了這麼一篇文章的誕生。 準備工作 庫 作用 su

Python3爬蟲之五:網站資料並寫入excel

本文主要講解如何將網頁上的資料寫入到excel表中,因為我比較喜歡看小說,我們就以筆趣閣的小說資料為例,來說明怎麼把筆趣閣的小說關鍵資訊統計出來,比如:小說名、字數、作者、網址等。 根據之前的幾次爬蟲例項分析筆趣網原始碼知道,小說名在唯一的標籤h1中,因此可以

JAVA 指定網站資料並存入MySQL資料庫中 maven +httpclient+jsoup+mysql

            最近在做一個小專案,因為要用的資料爬取,所以研究了好多天,分享一下自己的方法 目錄結構: 自己建立maven工程,匯入相關依賴:pom.xml <?xml version="1.0" enco

JAVA 新聞網站資料,httpclient和jsoup。

建立maven工程目錄: pom.xml <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.

java某電影網站資料

使用jsoup獲取動態網站的資料 部分程式碼: /** * 獲取分類的所有相對連結地址 和名稱,儲存到map中,返回資料 * */ public class GetMoviesName { private String url; H

JAVA爬蟲網頁資料資料庫中,並且去除重複資料

pom檔案 <!-- 新增Httpclient支援 --> <dependency> <groupId>org.apache.httpcomponents</groupId> <artifactId&

[記錄]Java網路爬蟲基礎和抓網站資料的兩個小例項

前段時間在學習爬蟲,並從網路抓取了一些簡單的資料,記錄一下。 抓取分成下面3個部分: 1、網路請求 2、解析抓取下來的頁面,並且處理亂碼或者解壓程式碼的問題 3、拿到指定的資料、資源 完整程式碼如下: 第一個例項: /** * 從某網站查詢所有帖子標題 * 把所有

java網路程式設計____最簡單的爬蟲(網站美女圖片)

package com.company.reptile; import java.io.BufferedReader; import java.io.DataInputStream; import java.io.File; import java.io.FileOutpu

java使用代理ip網站內容

在一些有反爬蟲技術的網站中,檢測到同一ip在短時間內多次訪問的時候,可能就會禁掉這個ip。 上有政策,下有對策,為了應對這種情況,可以使用多個代理ip去爬取這個網站。 java使用代理ip有兩種方法: 1.設定System系統屬性 // 設定代理IP System.get

使用selenium網站動態資料

處理頁面動態載入的爬取 selenium selenium是python的一個第三方庫,可以實現讓瀏覽器完成自動化的操作,比如說點選按鈕拖動滾輪等 環境搭建: 安裝:pip install selenium 獲取瀏覽器的驅動程式:下載地址http://chromedrive

java爬蟲 網站資訊 儲存資料庫

需求分析 1:爬取虎嗅首頁獲取首頁文章地址:https://www.huxiu.com/ 2:爬取虎嗅分頁地址,獲取分頁上的文章地址。 3:爬取文章詳情頁,獲取文章資訊(標題、正文、作者、釋出時間、評論數、點贊數、收藏數)。 4:將爬到的文章資訊入庫。 實現思路 1:爬首頁

Java中國天氣網實況天氣資料

因實驗室需求,需要找一個實況天氣API。 百度雲、阿里雲、騰訊雲上邊我都去找了,很多平臺要麼沒有,要麼要收費(免費的可呼叫次數太少了)。而我在高德開放平臺上找到了一個,但是不符合要求,被老師pass掉了。 百度搜一下,基本上都是用Python自動化測試Selenium寫的,那也太

Java爬蟲網站電影下載連結

之前有看過一段時間爬蟲,瞭解了爬蟲的原理,以及一些實現的方法,本專案完成於2017年初,一直放在那裡,現在和大家分享出來。網路爬蟲簡單的原理就是把程式想象成為一個小蟲子,一旦進去了一個大門,這個小蟲子就像進入了新世界一樣,只要符合他的口味的東西就會放在自己的袋子裡,但是他還不