Postman XSRF Token

0

Hej
Potrzebuję zdobyć xsrf token z Postmana. Jestem w tym zielony, jest to moja pierwsza styczność z security etc. Próbowałem:
1) Postman Interceptor. Z tego co wyszukałem u wuja google, po użyciu Inteceptor'a powinienem dostać z GET cookies XSRF token, natomiast nie dostaje go.
2) Próbowałem też paru rozwiązań ze stron internetowych typu Link jednak również bezskutecznie
Zwracam się więc z prośbą o pomoc użytkowników 4p, może znajdzie się tu jakaś wskazówka na którą jeszcze nie wpadłem.

Ps nie mam pewności czy dobry dział na ten temat, ale aplikacja jest napisana w Springu, a jako, że nie wiem gdzie leży problem (może nie w Postmanie, tylko w aplikacji) więc postanowiłem umieścić temat tutaj. Od razu zaznaczę, że nie mam włączonego .csrf().disable()

2

Poczytaj pierwsze co to jest CSRF, jak sie przed tym chronić, co to jest XSRF token.
Generalnie pierw wołasz backend po taki token (oczywiście musisz go pierwsze wygenerować + gdzieś trzymać żeby zwalidować z przychodzącym), potem go używasz dołączając do każdego requestu.
Sprawdziłem ten filmik pobieżnie, chyba pokrywa twoje pytanie.

1

No ale to chyba to Ty masz ustawić xsrf token w Postmanie, a nie wydobyć ten token z Postmana? Zobacz te linki:

https://medium.com/hackernoon[...]tman-django-tips-c9ec8eb9eb5b
https://stackoverflow.com/que[...]oken-from-postman-rest-client

0

@Korges , filmik który zamieściłeś, to dokładnie kurs którego się trzymam i sytuacja, którą opisałem w punkcie nr 1 :-) tj 9 minuta filmu. Robię wszystko jak w nagraniu, natomiast tam w 9 minucie wyskakuje ten xsrf token, a ja tego nie mam.

1

powinienem dostać z GET cookies XSRF token

Po pierwsze to może go w ogole nie być, nie każdy ma tokeny. Po drugie nie musi wcale być w cookie, moze równie dobrze być ukrytym polem formularza na stronie, albo lecieć do local storage albo być częścią sesji albo jeszcze jakieś inne rozwiązanie. Nie ma jakiegoś jednego "standardu" i developer może to zaimplementować (lub nie) jak sobie wymyśli.

2

Ok, cały dzień stracony na tym, ale w końcu znalazłem co i jak :)
Generalnie niepotrzebne zamieszanie zrobiłem, zamiast zastanawiać się na tej nieszczęśliwej 9 minucie, wystarczyło obejrzeć nagranie do końca :) Moja mina, że było to podane tam na tacy, po tym jak cały dzień szukałem w innych źródłach, bezcenna.

1 użytkowników online, w tym zalogowanych: 0, gości: 1, botów: 0