为了对网络浏览器的问题进行分类,我试图确定发生的 XXX-xsrfstatemanager.js 文件的启动器(XXX部分像nonce一样是动态的)作为Google身份验证流程的一部分(使用OAuth)。
当我使用Chrome开发人员工具时,它说以下URL是启动器:
查看上一页的结果,可以看到很多Javascript,但是找不到字符串“ xsrfstatemanager”,也看不到包含任何其他javascript页面。除非有某种以某种方式构建此URL的真正神秘的代码,否则该调用实际上是来自其他页面。
有人知道我如何获得“真正的”发起人吗?或者,如果上面的URL可能是正确的,是否可以获取更多信息,例如启动呼叫的文件的确切行号?
顺便说一句,出于安全原因,我编辑了上述URL,但是,如果您访问(例如)www.quora.com并快速“继续使用google”,则很容易看到有问题的流程。
答案 0 :(得分:4)
该流程包括重定向,这就是为什么您看不到启动/引用该脚本的源代码的原因。
如果查看单击“ Continue with Google”时打开的原始URL的来源,则将看到引用它的<script src>。在Chrome和Safari中都可以使用-
view-source:https://accounts.google.com/o/oauth2/auth?redirect_uri=storagerelay%3A%2F%2Fhttps%2Fwww.quora.com%3Fid%3Dauth488109&response_type=code%20permission%20id_token&scope=email%20profile%20openid&openid.realm=&client_id=917071888555.apps.googleusercontent.com&ss_domain=https%3A%2F%2Fwww.quora.com&access_type=offline&include_granted_scopes=true&prompt=select_account&origin=https%3A%2F%2Fwww.quora.com&gsiwebsdk=2
从源代码开始-
<script src='https://ssl.gstatic.com/accounts/o/532969778-xsrfstatemanager.js' nonce="IgiKmQiLZIHDwGvce7/q6Q"></script>
您还可以使用Fiddler之类的工具查看重定向的源代码,或在Chrome开发者工具功能的“网络”面板中查看“保留日志”,或转到禁用JavaScript的原始URL。