带有Curl的HTTP头部POST请求

时间:2013-08-02 07:36:35

标签: php post curl xmlhttprequest

我用Fiddler抓住了以下Post请求,我只屏蔽了URL,因为我不想制作广告

POST http://xyz.com/dialogs/track HTTP/1.1
Host: www.xyz.com
User-Agent: Mozilla/5.0 (Windows NT 6.1; rv:10.0) Gecko/20100101 Firefox/10.0
Accept: application/json, text/javascript, */*; q=0.01
Accept-Language: de
Accept-Encoding: gzip, deflate
DNT: 1
Content-Type: application/json; charset=utf-8
X-CSRFToken: uuihXszJrkrXwnCkLKKDNQ8BrPRDqXvU
X-Requested-With: XMLHttpRequest
Referer: http://www.xyz.com/referer/
Content-Length: 2
Cookie: csrftoken=uuihXszJrkrXwnCkLKKDNQ8BrPRDqXvU
Connection: keep-alive
Pragma: no-cache
Cache-Control: no-cache

{}

我需要一个教程(链接会很有用)来“伪造”这个请求与卷曲,我在谷歌上发现了一些东西,但没有任何工作,我收到错误。

- 编辑 - 

$headers = array(
'POST http://www.example.com/dialogs/track HTTP/1.1',
'Host: www.example.com',
'User-Agent: Mozilla/5.0 (Windows NT 6.1; rv:10.0) Gecko/20100101 Firefox/10.0',
'Accept: application/json, text/javascript, */*; q=0.01',
'Accept-Language: de',
'Accept-Encoding: gzip, deflate',
'DNT: 1',
'Content-Type: application/json; charset=utf-8',
'X-CSRFToken: uuihXszJrkrXwnCkLKKDNQ8BrPRDqXvU',
'X-Requested-With: XMLHttpRequest',
'Referer: http://www.example.com',
'Content-Length: 2',
'Cookie: __cfduid=d0db16cb5c4c58db770a1374f09a61d7d1375100590810; csrftoken=uuihXszJrkrXwnCkLKKDNQ8BrPRDqXvU; __utma=1.2111538523.1375265099.1375427020.1375431064.5; __utmz=1.1375348556.2.2.utmcsr=example.de|utmccn=(referral)|utmcmd=referral|utmcct=/game/index.php; __gads=ID=88f0a0a8b0698e1e:T=1375265099:S=ALNI_MYX8OxkwPxXQd7VY4qDImLK7fq_yQ; __utmb=1.4.9.1375431089319; __utmc=1',
'Connection: keep-alive',
'Pragma: no-cache',
'Cache-Control: no-cache',
'',
'{}'
);



//set POST variables
$url = 'http://www.example.com/dialogs/track';

//open connection
$ch = curl_init();

//set the url, number of POST vars, POST data
curl_setopt($ch,CURLOPT_URL, $url);
curl_setopt($ch,CURLOPT_HTTPHEADER, $headers);


//execute post
$result = curl_exec($ch);

//close connection
if (curl_error($ch)) {
print "Error: " . curl_error($ch);
}
else
{
var_dump($data);
curl_close($ch);
}

错误消息

  

错误:Recv失败:通过对等方重置连接

-EDIT 2 -

我玩了一下,现在连接正常,但似乎CSRF令牌没有正确提交我收到错误!

  

禁止(403)

     

CSRF验证失败。请求中止。

他们是解决方案吗?

1 个答案:

答案 0 :(得分:0)

你的遗失:

curl_setopt($ch, CURLOPT_POST, true);

我认为您的问题不在于Curl,而在于CSRF验证的工作原理。

让我们说服务器设置会话的服务器(基本上是cookie中的一个字符串,用于标识服务器上的数据)。然后,您将该数据发回服务器,在该服务器上将CSRF令牌与链接到您还发回的SESSION的{​​{1}}令牌进行比较。

您的请求中只有一个可能的会话Cookie - COOKIE(其他属于google和cloudflare)。

这意味着CSRF令牌和会话标识符(csrftoken值)完全相同,即csrftoken,这不是CSRF验证的工作方式。

当返回uuihXszJrkrXwnCkLKKDNQ8BrPRDqXvU响应时,您需要获取会话cookie和CSRF令牌,然后将其返回,一个作为GET值,另一个作为COOKIE值(当你提出POST请求时,可能有2个标题值,但有2个不同的值。

相关问题
最新问题