[Ktor]实现绕开 csrf_token 完成自动登录

说到 csrf_token 是个什么鬼呢，说白了就是一个 防止跨站请求伪造 的东西，关于 csrf 攻击和 csrf_token 的使用，网上已有很多文章，我不打算引用或是赘述。这里我只说，如何绕开 csrf_token 来完成一个模拟的登录。

通过抓包可以知道，在 flask 框架内，一个合法的带有 csrf_token 的请求，需要经过以下四个步骤:

1. 以 GET 方式请求登录页面，获得一个基础的 Cookie 值（其中包含 session 字段， 记为 co1）和 csrf_token
2. 使用 co1，以 POST 方式请求登录页面，传入登录所需的参数，获取登录后的 Cookie 值（其中包含 session 字段，记为 co2）
3. 使用 co2，以 GET  方式请求 "/" 页面
4. 使用 co2，以 GET 方式请求 “/home” 页面

经过以上 4 步，才可以完成一个带 csrf_token 的模拟登录。那么下面具体的来看每一步的实现代码:

一、拿 Cookie 值(co1) 和 csrf_token

var csrfToken = ""
var co1: Cookie? = null
http {
    url = "http://$IP:$PORT/login/?next=http%3A%2F%2F$IP%3A$PORT%2Fhome"
    method = HttpMethod.GET
    followRedirects = false
    onSuccess { _, text, _, cookie ->
        csrfToken = (text ?: "").split("\n").filter { it.trim().startsWith("var csrfToken = '") }[0].replace("var csrfToken = '", "").replace("';", "").trim()
        co1 = cookie.first().toKtorCookie()
        call.response.cookies.append(co1)
    }
}

其中有一个函数为 toKtorCookie()，是用来将 okhttp 的 cookie 转换为 ktor 的 cookie 的，具体实现如下:

fun okhttp3.Cookie.toKtorCookie() = Cookie(
    this.name,
    this.value,
    expires = GMTDate(this.expiresAt),
    domain = this.domain,
    path = this.path,
    secure = this.secure,
    httpOnly = this.httpOnly
)

现在我们有了一个基础的 cookie 和一个 csrf_token 了，接着来进行第二步。

二、进行登录

登录时需要传入 csrf_token，需要特别注意一下:

var co2: Cookie? = null
http {
    url = "http://$IP:$PORT/login/?next=http%3A%2F%2F$IP%3A$PORT%2Fhome"
    method = HttpMethod.POST
    followRedirects = false
    headers["Cookie"] = "${co1?.name}=${co1?.value}"
    postParam["csrf_token"] = csrfToken
    postParam["username"] = account
    postParam["password"] = password
    onSuccess { _, _, _, cookie ->
        co2 = cookie.first().toKtorCookie()
        call.response.cookies.append(co2)
    }
}

到了这里，其实模拟登录已经完成了，但是后面两步不能省略，如果不请求的话会引起登录态不正确。

三、请求 “/”

http {
    url = "http://$IP:$PORT/"
    method = HttpMethod.GET
    followRedirects = false
    headers["Cookie"] = "${co2?.name}=${co2?.value}"
}

四、请求 “/home”

http {
    url = "http://$IP:$PORT/home"
    method = HttpMethod.GET
    headers["Cookie"] = "${co2?.name}=${co2?.value}"
}

在此过程中，必须注意的是，前两步返回的 Cookie 必须写入 response，不写的话是无效的，也不能只写第二个。

其次就是最后的两步，绝对不能省，之前做到第二步，拿到了第二个 Cookie 后就以为大功告成，但是这是不对的，必须执行后面的两个请求才可以。