无法获取Jmeter的安全令牌

Question

我正在尝试对我照看的应用进行一些基本的性能测试。

我正在使用Jmeter并完成了步骤记录器和跟随youtube上的Jmeter教程一样，但是当我需要将变量放入X-CSRF-Token时我会陷入困境

问题是我无法在捕获的步骤中找到X-CSRF-Token。它是否使用其他形式的身份验证？对于我对其他方法的任何建议都会很棒。

如果这篇文章没有多大意义，我对Jmeter或测试并不十分了解。

Answer 1

要查找令牌出现的位置：

• 清除浏览器历史记录
• 使用jmeter录制模板记录您的场景
• 然后在视图结果树中找到非HTTP（s）测试脚本记录器，使用搜索字段查找它出现的第一个响应。您需要在相应的采样器中添加一个提取器
• 然后你可以使用$ {varName}
注入它

Answer 2

根据您的服务器配置，X-CSRF-Token可以进入：

• 在回复HTML正文
中
• 在response headers中，检查HTTP Header Manager是否有任何硬编码值
• 作为HTTP Cookie（基本上也是标题，但是从HTTP Cookie Manager而不是从响应标题中获取它会更方便）

因此，请务必检查View Results Tree侦听器中第一个请求的所有选项卡，因为此X-CSRF-Token人可以隐藏在任何位置。

您可以尝试另一种录制JMeter测试的方法，它可以导出测试＆＃34; SmartJMX＆＃34;模式具有自动检测和相关的任何动态参数，包括但不限于CSRF tokens所以从理论上讲它可以让您的生活更轻松，请查看How to Cut Your JMeter Scripting Time by 80%指南以获取更多信息和技术细节。

如果您需要进一步的帮助，则必须提供更多详细信息，例如完整转储2个请求以及回复。您可以使用Wireshark或Fiddler之类的嗅探工具捕获它。