[JAVA] Einstellungen beim Aufrufen der API mithilfe von CSRF-Maßnahmen von Spring Security in JMeter
Was du machen willst
Wie der lange Titel schon sagt. Ich habe eine API zum Aufrufen aus einer Vue.js-Anwendung mit Spring Boot erstellt. Es wurde beschlossen, einen Auslastungstest dieser API durchzuführen. Ich verwende JMeter, um ein Szenario zu erstellen, aber da ich CSRF-Maßnahmen mit dem "CookieCsrfTokenRepository" von Spring Security verwende.
- Holen Sie sich den Wert des XSRF-TOKEN-Cookies als CSRF-Token
- Wird als "X-XSRF-TOKEN" -Header festgelegt, wenn eine API mit "POST" aufgerufen wird
Deshalb mussten wir das im Szenario tun.
Grobe Spezifikationen der zu testenden API
Nur das Bild sieht so aus.
| url | HTTP-Methode | Überblick |
|---|---|---|
| /login | POST | ID/Passwort senden, um sich anzumelden Nach erfolgreicher Anmeldung XSRF-TOKENCookie wird gegebenNicht der CSRF-Prüfung unterworfen |
| /orders | POST | Registrieren Sie eine Bestellung CSRF-Prüfziel |
Umgebung
Anwendung
- Spring Boot 2.1.4
Werkzeug
- Apache JMeter 5.1.1
- Einstellungen werden durch Starten der GUI vorgenommen.
JMeter-Einstellungen
Holen Sie sich den Wert von XSRF-TOKEN
Die Antwort von / login enthält das Cookie von XSRF-TOKEN, also werden wir es extrahieren.
Wenn man sich die Antwort von / login in DevTools ansieht, sieht es vorerst so aus.
Aufbau
Aufrufe von "/ login" werden im "HTTP Request" -Sampler definiert. (Details weggelassen) Verwenden Sie nach dem Ausführen dieses Samplers "Regular Expression Extraction", um ein CSRF-Token zu erhalten.
Verfahren
- Wählen Sie den
HTTP RequestSampler in/ loginund klicken Sie mit der rechten Maustaste - Wählen Sie
ADD→Post Processors→Regular Expression Extractor - Stellen Sie Folgendes ein (Name und Kommentare sind angemessen)
- Auszug aus Antwortheadern
- Da es aus dem Header extrahiert wird, muss der reguläre Ausdruck in dem von DevTools zuvor bestätigten Format geschrieben werden, kurz gesagt, das Format einschließlich "Set-Cookie:"
Ist das der Punkt? In nachfolgenden Szenarien können Sie "$ {xsrf_token}" angeben, um den aus der Variablen extrahierten Wert aufzulösen.
Setzen Sie den X-XSRF-TOKEN-Header
Da / orders einer CSRF-Prüfung unterliegt, muss zum Zeitpunkt des Aufrufs der Header X-XSRF-TOKEN gesetzt werden.
Aufbau
Aufrufe von / orders werden im Sampler HTTP Request definiert. (Details weggelassen)
Verwenden Sie zum Ausführen dieses Samplers den HTTP-Header-Manager, um den X-XSRF-TOKEN-Header festzulegen.
Verfahren
- Wählen Sie den Sampler "HTTP Request" in "/ orders" aus und klicken Sie mit der rechten Maustaste
- Wählen Sie
ADD→Config Element→HTTP Header Manager - Stellen Sie Folgendes ein (Name und Kommentare sind angemessen, Inhaltstyp wird festgelegt, da dies in dieser API-spezifischen Spezifikation erforderlich ist).
Das zuvor erhaltene "$ {xsrf_token}" wird als "X-XSRF-TOKEN" -Header gesetzt.
Zusammenfassung
Mit den obigen Einstellungen können Sie die CSRF-Maßnahmen übergeben. Wenn Sie JMeter noch nicht kennen, können Sie sich eine so kleine Anwendung nicht sofort vorstellen. Ich dachte, es wäre ärgerlich (es ist meine ungewohnte Erfahrung), also schrieb ich es auf.
Referenzseite
Ich bezog mich auf Folgendes. Vielen Dank.
https://www.blazemeter.com/blog/how-load-test-csrf-protected-web-sites
Recommended Posts