Какие HTTP-запросы регистрирует Чарльз для определенного процесса входа и выхода?

436
forgodsakehold

Когда я вхожу и выхожу из определенного веб-сайта: https://worldcat.authn.worldcat.org/login/manageduser-ui/cmnd/useraction/login?acsURL=https%3A%2F%2Fauthn.sd00.worldcat.org% 2Fwayf% 2Fmetaauth-ui% 2Fcmnd% 2Fprotocol% 2Facs% 2Fsaml2 & controllerMethod = samlpost (это страница входа для oclc.org/developer), это последовательность HTTP-запросов:

Для входа в систему:

enter image description here

Я использую Charles Proxy.

Я не вижу, что мои данные для входа передаются. И я вижу, что в конце каждого входа в систему / выхода из системы выполняется запрос POST с кучей мусорных символов в теле объекта. Например, это запрос POST от логина:

POST / HTTP/1.1 Host: ocsp.digicert.com User-Agent: ocspd/1.0 Content-Length: 88 Content-Type: application/ocsp-request Connection: close  0V0T �0M0K0I0 +�_¦zµ'5ÎC£Ç a1aÕ/(çF8´,áÆÙâ6 ¥Þ$QèÖ~èÏ 

Я пытаюсь понять, как работает эта технология. Если мои данные для входа не передаются в HTTP-запросах или не обнаруживаются, почему и как еще они могли попасть на сервер?

1

1 ответ на вопрос

0
user2313067

Вы входите на сайт HTTPS, что означает, что связь зашифрована. Запрос, который вы ищете, на самом деле является одним из запросов CONNECT, но вы не сможете увидеть его содержание таким образом.

Вам необходимо настроить прокси-сервер Charles для посреднической связи HTTPS . Это заставит прокси-сервер Charles расшифровывать содержимое, которое отправляет ваш браузер, чтобы показать его вам, перед тем как перешифровать его и отправить на исходный сайт. Обратите внимание, что, как упоминалось на странице, на которую я ссылался, если вы не добавите сертификат Charles CA в качестве доверенного, в браузере появится предупреждение.

POST-запросы, которые вы видите, на самом деле из-за HTTPS. Ваш браузер связывается с центром сертификации, выдавшим сертификат веб-сайта, и спрашивает, действителен ли этот сертификат. Если вы хотите понять запрос POST, который вы показали, вам следует прочитать об OCSP и, возможно, найти декодер ASN.1, так как это формат тела запроса.

Похожие вопросы