Postman+Cookie+跨站点请求伪造CSRF(XSRF)如何处理

一、Cookie身份认证的解决办法

设置位置在Postman界面右上角像雷达一样那个按钮上，如图。

参照官方文档，直接通过chrome扩展获取即可。

注意，添加域名时候不要加端口号，直接localhost就行了，加端口号就不好使了。

二、如果使用了防跨站点请求伪造CSRF（XSRF）如何处理

我的系统使用的是ASP.NET Core3.1的防范方法。

在Postman中，需要借助Pre-request Script来处理，建议放置到Collection设置中，代码（就是js代码）如下：

// 为非GET添加CSRF防伪
if (pm.request.method != "GET") {
    const cookieJar = pm.cookies.jar();
    cookieJar.get('http://localhost/你的url', 'h-x你的防伪cookie名', (error, cookie) => {
　　　　 // console.log(error, cookie);
        pm.request.headers.upsert({key: 'XYZ你的防伪header名', value: cookie});
    });
}

注意，cookieJar.get的url参数域名需要先设置到Whitelist Domains设置中，否则会报错。提示：Postman的console可以通过Ctrl+Alt+c打开