всем привет,кто нибудь знает как обойти csrf защиту
суть в том что взял заказ на кворке -распарсить статистику канала(заказчик и есть автор этого канала)
но при анализе с удивлением обнаружил,что используется csrf защита
я нашел гет запрос ,который возвращает json co статистикой
при нажатии на этот запрос в интсрументе разработчика - нормально загружается xls файл
копирую ссылку запроса -втыкаю в браузер - ничего

я так понимаю требует csrf

как лучше сделать подскажите ?
у меня мысль такая сделать в приложении форму реги
которая редиректит на яндекс и при реге вытащить каким то образом csrf

пс.я asv_79)) тока тссс)

я прекрасно знаю что такое заголовки,вопрос в том,как обойти scrf защиту ,cockie я подставлю,а scrf то я где возьму ,он при каждом выходе с сайта обновляется судя по всему,

а как я его вычитаю?
я же пишу человеку парсер -который должен работать в автономном режиме и считывать статистику канала
scrf отправляется только если я на их сайте сижу же

если я делаю обычный запрос ,который я скопировал у них - сразу вылазит invalid scrf token

с удовольствием делаю,но к сожалению пока немного не получается понять,как мне автоматически взять куки и токен

смотри я авторизуююсь на яндексе -там двух шаговая авторизация
первый шаг
отправляет на сервер мой логин методом пост
вместе с логином отправляется сгенерированый scrf токен
тоесть чтобы этот токен увидеть я должен сделать авторизацию из их формы ,а не из парсера или постмана
он так и называется защита от кросс сайт атак ,чтобы меньше нагружали сервер парсингом

хотя как то же это обходят - ведь у людей есть рабочие парсеры
вот первое обращение к серверу яндекса и как мы видим там уже есть токен

так это не взлом а обычный парсер
все хорошо но scrf этот мешает пипец как

мне интересно просто каков срок его действия?
нужный мне запрост несет в себе этот токен и в куки сесию
я сгенерил нормально все постманом
теперь вопрос где брать все это удовольствие автоматом

все правильно он там и есть как его оттуда достать автоматом?

при том что этот токен присваивается лишь из формы яндекс
как же люди обходят это дело?
тут либо вариант один раз прописать этот токен и сессию и уже не выходить из акк,что конечно же не устроит заказчика
либо думать ,как обойти

не совсем так
ключик дает серверу понять что ты запрос делаешь с его сайта,а не с чужого
он же так и переводится как защита от крос сайт атак
тоесть это буду я,так как если бы это был не я -откуда бы я взял логин и пароль

вообще конечно вариант простой - в приложении сделать возможность вводить токен и сессию
проблема в том захочет ли клиент этим заморачиваться ища это у себя в браузере
хотя там дел на 10 секунд

мне уже чисто из спортивного интереса хочется понять как они обходят эту защиту

ды ты смеешься чтоли)))
хакеры)))

НЕ все так просто
во первых там двух этапная авторизация и помимо токена нужна сесия в куки
а она дается только на втором этапе и там уже второй токен короче щас попробую как ты сказал но очень сомневаюсь что такое возможно

да )