【发布时间】:2017-06-13 08:37:35
【问题描述】:
我刚开始在工作中使用 Jmeter,在录制脚本并尝试回放时,我收到了此消息以进行登录
在请求参数“_csrf”上发现无效的 CSRF 令牌“null” 或标题 'X-CSRF-TOKEN
我也收到响应代码 403。
有人可以帮帮我吗?
【问题讨论】:
-
this SO 问题的可能重复项。
标签: jmeter
【发布时间】:2017-06-13 08:37:35
【问题描述】:
您可以尝试添加 HTTP Cookie 管理器,因为有时会在 cookie 中发送 csfr 令牌。 问候
【讨论】:
这意味着您需要关联一个动态值:
- 在第一个请求中,您会在响应正文或响应标头中获得称为“CSRF 令牌”的内容。这是一种安全增强形式,用于保护应用程序免受CSRF attacks 的侵害。
- 为了能够发出下一个请求,您需要传递与响应第一个请求时所获得的值完全相同的值(以确认您的来源)。您需要使用JMeter PostProcessor 提取它,将其转换为JMeter Variable 并使用HTTP Header Manager 将其作为参数
_csrf或X-CSRF-TOKEN请求标头发送
有关 JMeter 测试脚本中绕过 CSRF 保护的更详细说明和示例,请参阅How to Load Test CSRF-Protected Web Sites
【讨论】: