Получение инициатора файла XXX-xsrfstatemanager.js с помощью Chrome Developer Tools - PullRequest
Новая
       16

Получение инициатора файла XXX-xsrfstatemanager.js с помощью Chrome Developer Tools

4 голосов
/ 06 апреля 2019

Чтобы решить проблему с веб-браузером, я пытаюсь определить инициатор файла XXX-xsrfstatemanager.js (часть XXX выглядит динамически, как одноразовый номер), которая возникает какчасть потока аутентификации Google (с использованием OAuth).

Когда я использую инструменты разработчика Chrome, он говорит, что нижеприведенный URL является инициатором:

https://accounts.google.com/o/oauth2/v2/auth?approval_state=%21Ch[REDACTED]Q%E2%88%99AJ[REDACTED]xq&as=-aBk[REDACTED]

Взгляд нарезультат вышеупомянутой страницы видят много Javascript, но строка "xsrfstatemanager" нигде не найдена, и при этом я не вижу никаких других включенных страниц javascript.Если не существует какого-то действительно загадочного кода, который каким-то образом создает этот URL-адрес, вызов на самом деле идет с какой-то другой страницы.

Кто-нибудь знает, как я могу получить «настоящий» инициатор?Или, если приведенный выше URL-адрес может быть правильным, если я могу получить больше информации, например, какой точный номер строки файла инициировал вызов?

Кстати, пока я редактировал вышеуказанный URL-адрес по соображениям безопасности, если вы идете(например) на www.quora.com и быстро "продолжить с Google", легко увидеть рассматриваемый поток.

1 Ответ

4 голосов
/ 13 апреля 2019

Поток включает перенаправление, поэтому вы не можете видеть исходный код, который инициирует / ссылается на этот скрипт. Если вы просмотрите исходный URL-адрес, который открывается при нажатии «Продолжить с Google», вы увидите <script src>, который ссылается на него. Это работает в Chrome и, возможно, Safari - view-source:https://accounts.google.com/o/oauth2/auth?redirect_uri=storagerelay%3A%2F%2Fhttps%2Fwww.quora.com%3Fid%3Dauth488109&response_type=code%20permission%20id_token&scope=email%20profile%20openid&openid.realm=&client_id=917071888555.apps.googleusercontent.com&ss_domain=https%3A%2F%2Fwww.quora.com&access_type=offline&include_granted_scopes=true&prompt=select_account&origin=https%3A%2F%2Fwww.quora.com&gsiwebsdk=2

Из исходного кода - 

<script src='https://ssl.gstatic.com/accounts/o/532969778-xsrfstatemanager.js' nonce="IgiKmQiLZIHDwGvce7/q6Q"></script>

Вы также можете использовать такие инструменты, как Fiddler, чтобы увидеть исходный код перенаправления, или установить флажок «Сохранить журнал» на панели «Сеть» функции инструментов разработчика в Chrome, или перейти к исходному URL-адресу с отключенным JavaScript.

...