如何模拟登陆添加了CSRF保护的网站

上次写了篇文章，内容是如何利用WebClient模拟登陆CSRF控制的网站，回复中有人还是不理解，现在另开一篇，打算说说用Python如何来登陆。

开写之前，先说下为什么webrequest不行，常规情况下，我们在利用webrequest的时候，都是如下的形式：

 string url = "loginurl";
 StringBuilder sb = new StringBuilder();
 sb.Append("username=un");
 sb.Append("&password=up");
 sb.Append("&service=sv");
 HttpWebRequest requestget = (HttpWebRequest)WebRequest.Create(url);
 byte[] postData = Encoding.UTF8.GetBytes(sb.ToString());
 using (Stream stream = requestget.GetRequestStream())
 {
     stream.Write(postData, , postData.Length);
 }
 WebResponse reponse1 = requestget.GetResponse();
 StreamReader sr2 = new StreamReader(reponse1.GetResponseStream(), Encoding.UTF8);
 string html2 = sr2.ReadToEnd();

可关键是我们POST过去的数据并没有服务器所认可的CSRF值，在GetResponse处就会报错，要是我们在上面第六行后面添加如下代码：

 WebResponse reponseget = requestget.GetResponse();
 StreamReader sr = new StreamReader(reponseget.GetResponseStream(), Encoding.UTF8);
 string html = sr.ReadToEnd();
 string regx = "<input type=\"hidden\" id=\"lt\" name=\"lt\" value=\"(?<PID>\\S+?)\" />";
 string token = Regex.Match(html, regx).Groups[].Value;
 sb.Append("&lt=" + token);

先获得其值，并加入到postdata的stringbuild中，其它不变，当执行到GetRequestStream的时候，会报System.Net.ProtocolViolationException的错误，此时如果你重新create一个httpwebrequest又会导致csrf值失效。这些就是在模拟登陆具有CSRF保护网站时碰到的问题，所以才有第一篇文章重写WebClient来达到。

今天碰巧在写Python代码，就想利用Python看看怎么来做这样带保护的模拟登陆，简单说来，代码如下：

 from urllib.parse import urlencode
 url = 'somurl'
 r,c = h.request(url,'GET')
 sc = c.decode('utf-8')
 import re
 regx = r'<input type="hidden" id="lt" name="lt" value="(\S+?)" />';
 pm = re.search(regx,sc)
 csrf = pm.group(1)
 body = {'username':'user','password':'pass','lt':csrf,'service':'url'}
 r,c = h.request(url,'POST',body=urlencode(body))
 print (c.decode("UTF-8"))

感觉还是满简单的。当然我们也还是要利用cookie来达到目的，上面是主要的代码，大家可以参考下。

变量h的定义如下：

 h = httplib2.Http('.cache')

可以看到，用的是httplib2这个库。在Python中推荐用其来代替标准库的http客户端。