Заголовок Ajax-Token в Post запросе. Где искать?

Oleg-KC

Client
Регистрация
17.02.2020
Сообщения
168
Благодарностей
56
Баллы
28
Токен меняется от запроса к запросу. Чтобы долго не искать среди сотен запросов, сделал так: https://zennolab.com/discussion/threads/sovmeschaem-veb-i-post-get-zaprosy.86504/
Получил все данные по запросам и положил в список
C#:
instance.UseTrafficMonitoring = true;
var tok = project.Variables["token"].Value;
var urls = project.Lists["urls"];
var traffic = instance.ActiveTab.GetTraffic();
foreach(var t in traffic){
    urls.Add(t+" +++ line");
    urls.Add(t.Url+" +++ Url");
    urls.Add(t.ResponseBody+" +++ ResponseBody");
    urls.Add(t.ResponseCookies+" +++ ResponseCookies");
    urls.Add(t.ResponseHeaders+" +++ ResponseHeaders");
}
for(int i=0; i < urls.Count; i++){
    var str = urls[i];
    if(str.Contains(tok)){
        project.SendInfoToLog(str,  true); //выводит в лог строчку с наши токеном
    }
}
Таким вот образом получилось найти большую часть заголовков, но не Ajax.
В DOM его тоже нет. Уже не знаю где искать. Второй день в поисках этого токена, безрезультатно. Подскажите, кто что знает?
 
Последнее редактирование:

Oleg-KC

Client
Регистрация
17.02.2020
Сообщения
168
Благодарностей
56
Баллы
28
1 и 2 находятся на странице. Обведенный X-Ajax-Token нет нигде. Я уже начал думать мб кодируется или хэшируется заголовок из данных, которые можно получить. Прилагаю мой fail.zp для наглядности :bc:
85442
 

Вложения

  • 32,5 КБ Просмотры: 41

nicanil

Client
Регистрация
06.03.2016
Сообщения
2 242
Благодарностей
1 819
Баллы
113
Возможно, этот токен генерируется где-то в JavaScript. Попробуйте поискать в файлах скриптов.
 
  • Спасибо
Реакции: Oleg-KC

Carty

Client
Регистрация
16.06.2021
Сообщения
39
Благодарностей
68
Баллы
18
Это hmac(с sha256, если я ничего не путаю) от тела запроса. Глобально доступен метод hmac.hash(s), можно проверить в F12 - Console, поиграться и вызвать из браузера зенки. А принцип составления строки для хеширования можно посмотреть в отладчике, поставив брейкпойнт на любой xhr запрос.
 
  • Спасибо
Реакции: Oleg-KC

Oleg-KC

Client
Регистрация
17.02.2020
Сообщения
168
Благодарностей
56
Баллы
28
Возможно, этот токен генерируется где-то в JavaScript. Попробуйте поискать в файлах скриптов.
Да тоже подумал, прочел про ajax token как где и что и вот все указывает на jquery.min.js но не пойму, как с ним работать?
Это hmac(с sha256, если я ничего не путаю) от тела запроса. Глобально доступен метод hmac.hash(s), можно проверить в F12 - Console, поиграться и вызвать из браузера зенки. А принцип составления строки для хеширования можно посмотреть в отладчике, поставив брейкпойнт на любой xhr запрос.
В декоде не силен. Скажите, а SHA256 обратно же раскодировать нельзя?

А еще такой вопрос: как DOM получить на постгет, если в теле ответа его нет?
 
Последнее редактирование:

nicanil

Client
Регистрация
06.03.2016
Сообщения
2 242
Благодарностей
1 819
Баллы
113
прочел про ajax token как где и что и вот все указывает на jquery.min.js
Мне кажется, что генерация токена происходит в другом месте. jquery.min.js - код библиотеки JQuery. Попробуйте поискать в файлах по URL запроса.

А еще такой вопрос: как DOM получить на постгет, если в теле ответа его нет?
DOM формируется после выполнения всех JavaScript скриптов на странице. Т.е. чисто на запросах его не получить.
 

Oleg-KC

Client
Регистрация
17.02.2020
Сообщения
168
Благодарностей
56
Баллы
28

Кто просматривает тему: (Всего: 1, Пользователи: 0, Гости: 1)