通过Postman进行post请求时传递X-XSRF-TOKEN

前言介绍

这段时间一个项目后端用的是laravel。在写API接口时通过Postman6进行测试。但是在测试后形式的接口时laravel自带了CSRF验证机制。这就很尴尬了...

所以我们的目的在使用Postman通过XSRF的验证,以测试POST的请求。还是以laravel为例子,Laravel会返回到浏览器的GET请求时将XSRF-TOKEN写在cookie中。因此我们需要从cookie中取到XSRF-TOKEN,并附在POST请求的报头中传送出去。以达到绕过Laravel的跨站请求伪造验证。

 

 

安装Postman Interceptor(Chrome扩展功能)

使用Postman如果通过自己拼接url,自己造数据,是非常麻烦的。因此选择Postman + Postman拦截器,使用Postman interceptor可以拦截到网页请求,同时传到postman的历史列表中,然后我们只需要在postman中修改一下网址就可以直接发送了。

Laravel通过镀铬作为拦截器来记录的cookie,因此要先安装邮递员在Chrome浏览器上的扩展程序。

下载地址:https//chrome.google.com/webstore/detail/postman-interceptor/aicmkgpgakddgnaphhhpliifpcfhicfo

嗯......浏览下载安装需要翻墙...

 

 

创建环境

我们打开邮差,点击页面右上角,进行设定环境。

新建evnironment

 

输入新建的环境名称,并按下 “添加”

选择刚刚新建的环境

 

  

发送GET请求,以取得XSRF令牌

新建一个获得请求,并在邮递员的测试标签中加入下面代码:

pm.environment.set(
    "XSRF-TOKEN", //此為環境變數名稱
    decodeURIComponent(pm.cookies.get("XSRF-TOKEN"))
)
 
加入的这个代码会在请求服务器成功返回时执行,因此可以取得的cookie,并存入邮递员的环境变量,用来在后请求时使用。

访问刚刚创建的get请求,点击发送,检查XSRF令牌是否在环境变量中

 

 

 

POST附带XSRF令牌 

Laravel预设要求发布时需要HTTP标头附带XSRF令牌

以下是我测试的代码:

//web.php
Route::post('posttest', 'OperateController@postTest');


//OperateController.php
public function postTest(Request $request) {
    var_dump('post test');
}
新增POST标签,并在Header中增加XSRF令牌

格式是:{{ “环境变量”}}:用来取得的环境变量值。

X-XSRF-TOKEN:{{XSRF-TOKEN}}

点击发送,成功打印

 

 

以上

posted @ 2018-08-29 08:14  如是说  阅读(6534)  评论(4编辑  收藏