- android - RelativeLayout 背景可绘制重叠内容
- android - 如何链接 cpufeatures lib 以获取 native android 库?
- java - OnItemClickListener 不起作用,但 OnLongItemClickListener 在自定义 ListView 中起作用
- java - Android 文件转字符串
我在一个无法解决的问题上被困在这里大约 24 小时。
我工作的保险公司依赖于从许多网站请求报价数据,一些用于分析,一些用于向客户报价。我正在为我开发的软件创建一个类,以将新的保险提供商添加到我们当前的提供商。
我主要发送一个包含客户信息和我们推荐的 POST 请求。但对于我的生活,我无法让它发挥作用。我已经这样做了数百次,没有任何问题。
我监控了 Fiddler 中的 header ,并完全复制了它们。该网站似乎唯一设置的是 4 个 cookie 值。一个是 xsrf(当您访问提交页面时自动设置,我可以从源代码中检索它,或者通过访问 CookieContainer),另外两个似乎与 session 相关但已加密。所以我要做的是让我的软件访问该页面,存储 cookie,然后提交发布请求。
我试过在禁用 JavaScript 的情况下手动提交表单。它有效。所以我可以假设没有使用 JavaScript 设置变量或 cookie。
我不明白为什么没有提交表单。
我唯一能想到的就是cookie中的session数据是加密的,存储的是浏览器提供的一些值。但是,如果没有 JavaScript,浏览器可以提供什么样的值而我的软件不能提供?
我已经设置了所有常用的 User-Agent 等。正如我所说,我已经这样做了数百次并且从未遇到过这样的问题。
我还使用 Fiddler 获取 cookie 信息,并将其直接放入软件(使用与软件上设置的用户代理相同的浏览器),理论上应该可以,但事实并非如此。
我将我的 POST 请求与来自浏览器的 POST 请求并排比较,它们是相同的。唯一不同的是加密的 session cookie 值。
Web 服务器没有返回任何错误。响应代码是 200。唯一的区别是当报价成功提交时页面将包含文本“报价成功”。这是我无法通过软件实现的。
我已经调用保险公司,他们无法提供帮助,因为他们不管理自己的网站。他们没有 API,但允许我们公司通过软件提出请求,只要我们提供推荐 ID。
对这里可能发生的事情有什么想法吗?
郑重声明,我使用的是 C# 和 HTTPClient。我不确定这是否相关。
编辑:
我注意到的一件事是,在使用浏览器对包含报价单的页面发出 GET 请求时,我注意到服务器返回了以下 header :
P3P: CP="CAO PSA OUR"
此外,当 POST 请求在浏览器中成功发送时,它也会返回此 header 。
但是,当我使用软件发出 GET 请求时,我注意到服务器使用 P3P header 进行响应,但 POST 请求却没有。这可能是相关的/重要的吗?
最佳答案
你可能比我早很多,而且看起来很奇怪,但他们有没有可能使用某种形式的临时或请求条件保护?例如:
您必须在发布表单之前请求 X 页面和 Y 页面(加密的 cookie 可能包括先前请求的 URI,或来自服务器的结果 session 状态)
您必须在发布表单前 n 秒请求 X 页 Y(加密的 cookie 可能包括该日期/时间)
您之前/在特定时间范围内不得发布此表单,并且 cookie 会相应调整/不调整
也许某些程序员试图阻止自动提交或关闭假设的攻击向量。
我不确定您是否已经这样做了,但可能值得尝试使用清除 cookie 从其首页(或者尽可能接近以手动提交表单)进行干净的站点访问并从一开始就缓存和观察 HTTP 请求/响应流量,以查看:
要做到这一点,我可能是在向合唱团布道,但使用 Chrome 浏览器,您可以清除 cookie,打开一个空白标签,按 F12 键打开开发工具,输入一个 URL,然后通过 F12 键的窗口,选择网络,您将看到所有请求/响应对的列表。单击任意一个并查看请求和响应源文本,并查找 Cookies 选项卡,它可以让您查看已发送 和 收到的 cookies - 这样您就可以看到哪个请求产生了 cookies。也许对该页面的访问是强制性的/被跟踪的。
(谷歌搜索表明 P3P header is an electronic privacy statement 不太可能相关。)
关于c# - 高级 HTTP POST 保护?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/20828226/
#include using namespace std; class C{ private: int value; public: C(){ value = 0;
这个问题已经有答案了: What is the difference between char a[] = ?string?; and char *p = ?string?;? (8 个回答) 已关闭
关闭。此题需要details or clarity 。目前不接受答案。 想要改进这个问题吗?通过 editing this post 添加详细信息并澄清问题. 已关闭 7 年前。 此帖子已于 8 个月
除了调试之外,是否有任何针对 c、c++ 或 c# 的测试工具,其工作原理类似于将独立函数复制粘贴到某个文本框,然后在其他文本框中输入参数? 最佳答案 也许您会考虑单元测试。我推荐你谷歌测试和谷歌模拟
我想在第二台显示器中移动一个窗口 (HWND)。问题是我尝试了很多方法,例如将分辨率加倍或输入负值,但它永远无法将窗口放在我的第二台显示器上。 关于如何在 C/C++/c# 中执行此操作的任何线索 最
我正在寻找 C/C++/C## 中不同类型 DES 的现有实现。我的运行平台是Windows XP/Vista/7。 我正在尝试编写一个 C# 程序,它将使用 DES 算法进行加密和解密。我需要一些实
很难说出这里要问什么。这个问题模棱两可、含糊不清、不完整、过于宽泛或夸夸其谈,无法以目前的形式得到合理的回答。如需帮助澄清此问题以便重新打开,visit the help center . 关闭 1
有没有办法强制将另一个 窗口置于顶部? 不是应用程序的窗口,而是另一个已经在系统上运行的窗口。 (Windows, C/C++/C#) 最佳答案 SetWindowPos(that_window_ha
假设您可以在 C/C++ 或 Csharp 之间做出选择,并且您打算在 Windows 和 Linux 服务器上运行同一服务器的多个实例,那么构建套接字服务器应用程序的最明智选择是什么? 最佳答案 如
你们能告诉我它们之间的区别吗? 顺便问一下,有什么叫C++库或C库的吗? 最佳答案 C++ 标准库 和 C 标准库 是 C++ 和 C 标准定义的库,提供给 C++ 和 C 程序使用。那是那些词的共同
下面的测试代码,我将输出信息放在注释中。我使用的是 gcc 4.8.5 和 Centos 7.2。 #include #include class C { public:
很难说出这里问的是什么。这个问题是含糊的、模糊的、不完整的、过于宽泛的或修辞性的,无法以目前的形式得到合理的回答。如需帮助澄清此问题以便重新打开它,visit the help center 。 已关
我的客户将使用名为 annoucement 的结构/类与客户通信。我想我会用 C++ 编写服务器。会有很多不同的类继承annoucement。我的问题是通过网络将这些类发送给客户端 我想也许我应该使用
我在 C# 中有以下函数: public Matrix ConcatDescriptors(IList> descriptors) { int cols = descriptors[0].Co
我有一个项目要编写一个函数来对某些数据执行某些操作。我可以用 C/C++ 编写代码,但我不想与雇主共享该函数的代码。相反,我只想让他有权在他自己的代码中调用该函数。是否可以?我想到了这两种方法 - 在
我使用的是编写糟糕的第 3 方 (C/C++) Api。我从托管代码(C++/CLI)中使用它。有时会出现“访问冲突错误”。这使整个应用程序崩溃。我知道我无法处理这些错误[如果指针访问非法内存位置等,
关闭。这个问题不符合Stack Overflow guidelines .它目前不接受答案。 我们不允许提问寻求书籍、工具、软件库等的推荐。您可以编辑问题,以便用事实和引用来回答。 关闭 7 年前。
已关闭。此问题不符合Stack Overflow guidelines 。目前不接受答案。 要求我们推荐或查找工具、库或最喜欢的场外资源的问题对于 Stack Overflow 来说是偏离主题的,因为
我有一些 C 代码,将使用 P/Invoke 从 C# 调用。我正在尝试为这个 C 函数定义一个 C# 等效项。 SomeData* DoSomething(); struct SomeData {
这个问题已经有答案了: Why are these constructs using pre and post-increment undefined behavior? (14 个回答) 已关闭 6
我是一名优秀的程序员,十分优秀!