Postman+Cookie+跨站点请求伪造CSRF(XSRF)如何处理

一、Cookie身份认证的解决办法

设置位置在Postman界面右上角像雷达一样那个按钮上,如图。

参照官方文档,直接通过chrome扩展获取即可。

注意,添加域名时候不要加端口号,直接localhost就行了,加端口号就不好使了。

二、如果使用了防跨站点请求伪造CSRF(XSRF)如何处理

我的系统使用的是ASP.NET Core3.1的防范方法

在Postman中,需要借助Pre-request Script来处理,建议放置到Collection设置中,代码(就是js代码)如下:

// 为非GET添加CSRF防伪
if (pm.request.method != "GET") {
    const cookieJar = pm.cookies.jar();
    cookieJar.get('http://localhost/你的url', 'h-x你的防伪cookie名', (error, cookie) => {
     // console.log(error, cookie); pm.request.headers.upsert({key:
'XYZ你的防伪header名', value: cookie}); }); }

注意,cookieJar.get的url参数域名需要先设置到Whitelist Domains设置中,否则会报错。提示:Postman的console可以通过Ctrl+Alt+c打开

posted @ 2020-05-25 10:07  球球和球球  阅读(1219)  评论(0)    收藏  举报