我在一个无法解决的问题上被困在这里大约 24 小时。
我工作的保险公司依赖于从许多网站请求报价数据,一些用于分析,一些用于向客户报价。我正在为我开发的软件创建一个类,以将新的保险提供商添加到我们当前的提供商。
我主要发送一个包含客户信息和我们推荐的 POST 请求。但对于我的生活,我无法让它发挥作用。我已经这样做了数百次,没有任何问题。
我监控了 Fiddler 中的 header ,并完全复制了它们。该网站似乎唯一设置的是 4 个 cookie 值。一个是 xsrf(当您访问提交页面时自动设置,我可以从源代码中检索它,或者通过访问 CookieContainer),另外两个似乎与 session 相关但已加密。所以我要做的是让我的软件访问该页面,存储 cookie,然后提交发布请求。
我试过在禁用 JavaScript 的情况下手动提交表单。它有效。所以我可以假设没有使用 JavaScript 设置变量或 cookie。
我不明白为什么没有提交表单。
我唯一能想到的就是cookie中的session数据是加密的,存储的是浏览器提供的一些值。但是,如果没有 JavaScript,浏览器可以提供什么样的值而我的软件不能提供?
我已经设置了所有常用的 User-Agent 等。正如我所说,我已经这样做了数百次并且从未遇到过这样的问题。
我还使用 Fiddler 获取 cookie 信息,并将其直接放入软件(使用与软件上设置的用户代理相同的浏览器),理论上应该可以,但事实并非如此。
我将我的 POST 请求与来自浏览器的 POST 请求并排比较,它们是相同的。唯一不同的是加密的 session cookie 值。
Web 服务器没有返回任何错误。响应代码是 200。唯一的区别是当报价成功提交时页面将包含文本“报价成功”。这是我无法通过软件实现的。
我已经调用保险公司,他们无法提供帮助,因为他们不管理自己的网站。他们没有 API,但允许我们公司通过软件提出请求,只要我们提供推荐 ID。
对这里可能发生的事情有什么想法吗?
郑重声明,我使用的是 C# 和 HTTPClient。我不确定这是否相关。
编辑:
我注意到的一件事是,在使用浏览器对包含报价单的页面发出 GET 请求时,我注意到服务器返回了以下 header :
P3P: CP="CAO PSA OUR"
此外,当 POST 请求在浏览器中成功发送时,它也会返回此 header 。
但是,当我使用软件发出 GET 请求时,我注意到服务器使用 P3P header 进行响应,但 POST 请求却没有。这可能是相关的/重要的吗?
最佳答案
你可能比我早很多,而且看起来很奇怪,但他们有没有可能使用某种形式的临时或请求条件保护?例如:
您必须在发布表单之前请求 X 页面和 Y 页面(加密的 cookie 可能包括先前请求的 URI,或来自服务器的结果 session 状态)
您必须在发布表单前 n 秒请求 X 页 Y(加密的 cookie 可能包括该日期/时间)
您之前/在特定时间范围内不得发布此表单,并且 cookie 会相应调整/不调整
也许某些程序员试图阻止自动提交或关闭假设的攻击向量。
我不确定您是否已经这样做了,但可能值得尝试使用清除 cookie 从其首页(或者尽可能接近以手动提交表单)进行干净的站点访问并从一开始就缓存和观察 HTTP 请求/响应流量,以查看:
要做到这一点,我可能是在向合唱团布道,但使用 Chrome 浏览器,您可以清除 cookie,打开一个空白标签,按 F12 键打开开发工具,输入一个 URL,然后通过 F12 键的窗口,选择网络,您将看到所有请求/响应对的列表。单击任意一个并查看请求和响应源文本,并查找 Cookies 选项卡,它可以让您查看已发送 和 收到的 cookies - 这样您就可以看到哪个请求产生了 cookies。也许对该页面的访问是强制性的/被跟踪的。
(谷歌搜索表明 P3P header is an electronic privacy statement 不太可能相关。)
关于c# - 高级 HTTP POST 保护?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/20828226/
如何在ruby中调用C#dll? 最佳答案 我能想到几种可能性:为您的DLL编写(或找人编写)一个COM包装器,如果它还没有,则使用Ruby的WIN32OLE库来调用它;看看RubyCLR,其中一位作者是JohnLam,他继续在Microsoft从事IronRuby方面的工作。(估计不会再维护了,可能不支持.Net2.0以上的版本);正如其他地方已经提到的,看看使用IronRuby,如果这是您的技术选择。有一个主题是here.请注意,最后一篇文章实际上来自JohnLam(看起来像是2009年3月),他似乎很自在地断言RubyCL
我正在尝试在Ruby中复制Convert.ToBase64String()行为。这是我的C#代码:varsha1=newSHA1CryptoServiceProvider();varpasswordBytes=Encoding.UTF8.GetBytes("password");varpasswordHash=sha1.ComputeHash(passwordBytes);returnConvert.ToBase64String(passwordHash);//returns"W6ph5Mm5Pz8GgiULbPgzG37mj9g="当我在Ruby中尝试同样的事情时,我得到了相同sha
C#实现简易绘图工具一.引言实验目的:通过制作窗体应用程序(C#画图软件),熟悉基本的窗体设计过程以及控件设计,事件处理等,熟悉使用C#的winform窗体进行绘图的基本步骤,对于面向对象编程有更加深刻的体会.Tutorial任务设计一个具有基本功能的画图软件**·包括简单的新建文件,保存,重新绘图等功能**·实现一些基本图形的绘制,包括铅笔和基本形状等,学习橡皮工具的创建**·设计一个合理舒适的UI界面**注明:你可能需要先了解一些关于winform窗体应用程序绘图的基本知识,以及关于GDI+类和结构的知识二.实验环境Windows系统下的visualstudio2017C#窗体应用程序三.
我如何做Ruby方法"Flatten"RubyMethod在C#中。此方法将锯齿状数组展平为一维数组。例如:s=[1,2,3]#=>[1,2,3]t=[4,5,6,[7,8]]#=>[4,5,6,[7,8]]a=[s,t,9,10]#=>[[1,2,3],[4,5,6,[7,8]],9,10]a.flatten#=>[1,2,3,4,5,6,7,8,9,10 最佳答案 递归解决方案:IEnumerableFlatten(IEnumerablearray){foreach(variteminarray){if(itemisIEnume
我最近从C#转向了Ruby,我发现自己无法制作可折叠的标记代码区域。我只是想到做这种事情应该没问题:classExamplebegin#agroupofmethodsdefmethod1..enddefmethod2..endenddefmethod3..endend...但是这样做真的可以吗?method1和method2最终与method3是同一种东西吗?还是有一些我还没有见过的用于执行此操作的Ruby惯用语? 最佳答案 正如其他人所说,这不会改变方法定义。但是,如果要标记方法组,为什么不使用Ruby语义来标记它们呢?您可以使用
什么是Linq聚合方法的ruby等价物。它的工作原理是这样的varfactorial=new[]{1,2,3,4,5}.Aggregate((acc,i)=>acc*i);每次将数组序列中的值传递给lambda时,变量acc都会累积。 最佳答案 这在数学以及几乎所有编程语言中通常称为折叠。它是更普遍的变形概念的一个实例。Ruby从Smalltalk中继承了这个特性的名称,它被称为inject:into:(像aCollectioninject:aStartValueinto:aBlock一样使用。)所以,在Ruby中,它称为inj
我目前还在上学,正在上一门关于用C++实现数据结构的类(class)。在业余时间,我喜欢使用“高级”语言(主要是Ruby和一些c#)进行编程。既然这些高级语言为你管理内存,你会用数据结构做什么?我可以理解对队列和堆栈的需求,但是您需要在Ruby中使用二叉树吗?还是2-3-4树?为什么?谢谢。 最佳答案 Sosincethesehigherlevellanguagesmanagethememoryforyou,whatwouldyouusedatastructuresfor?使用数据结构的主要原因与垃圾收集无关。但它是以某种方式有效的
关闭。这个问题是opinion-based.它目前不接受答案。想要改进这个问题?更新问题,以便editingthispost可以用事实和引用来回答它.关闭8年前。Improvethisquestion几年前我去学校学习编程,毕业后我找到了一份系统管理方面的工作,这就是我职业生涯的方向。我想重新开始某种开发,并且一直在“玩”C#和ASP.NET,但我已经听到很多关于其他"new"语言的讨论(新的意思是它们是新的)我)喜欢Ruby和F#。我想我想知道我是否在浪费时间学习主要的MS语言,而不是成为一名通才。很长一段时间没有离开开发社区(如果我曾经离开过的话)让我在潮流中挣扎,我不想落在时代的
我有一个简单的Ruby脚本,我用它在某些HTTPheader上执行private_encrypt以签署要发送到rubyRESTAPI的Web请求,该API会根据Base64编码字符串测试Base64编码字符串生成而不是解码Base64和解密数据然后测试原始字符串。我使用的脚本是require"openssl"require"base64"path_to_cert=ARGV[0].dupplain_text=Base64.decode64(ARGV[1].dup)private_key=OpenSSL::PKey::RSA.new(File.read(path_to_cert))pu
假设你有这个结构:classHouse请注意,Tv的用户是故意不可访问的。所以你有一个三层嵌套的表单,允许你在一个页面上输入房子、房间和电视。这是Controller的创建方法:defcreate@house=House.new(params[:house])if@house.save#...standardstuffelse#...standardstuffendend问题:您究竟如何为每台电视填充user_id(它应该来自current_user.id)?什么是好的做法?这是我在其中看到的catch22。将user_ids直接填充到params散列中(它们嵌套得很深)保存将失败,因