您的位置:首页 > 教程 > python > python使用requests库提交multipart/form-data请求的方法详解

python使用requests库提交multipart/form-data请求的方法详解

2023-01-18 06:00:17 来源:易采站长站 作者:

目录
前言multipart/form-dataPython 发送 multipart/form-data补充知识:multipart/form-data 参数转码总结

前言

今天渗透测试的时候,发现一个接口可以越权遍历出用户的敏感信息,然后想编写python脚本将所有信息都给dump下来。当我查看请求数据的时候,是如下这样的。不同于之前的请求数据是json可以直接使用data然后封装成字典就可以进行发送请求

这里的content-type是 multipart/form-data

multipart/form-data

Multipart/form-data其实就是上传文件的一种方式。我对它的翻译是>

http协议本身的原始方法其实并不支持multipart/form-data请求,它是由post方法来组合实现的

    multipart/form-data与post方法的不同之处(请求头,请求体)multipart/form-data的请求头必须包含一个特殊的头信息:Content-Type,且其值也必须规定为multipart/form-data,同时还需要规定一个内容分割符用于分割请求体中的多个post的内容,如文件内容和文本内容自然需要分割开来,不然接收方就无法正常解析和还原这个文件了。

    multipart/form-data的请求体也是一个字符串,不过和post的请求体不同的是它的构造方式,post是简单的name=value值连接,而multipart/form-data则是添加了分隔符等内容的构造体,格式如下:

    ------WebKitFormBoundaryA0Srut8TBztAofvx
    Content-Disposition: form-data; name="grant_type"
     
    password
    ------WebKitFormBoundaryA0Srut8TBztAofvx

    其中第一行是自定义的分割符,需要与请求头中规定的分割符相同。

    其实根据前言中的例子,可以很容易看出,这个请求体是多个类似的部分组成的:每一个部分都是以–加分隔符开始的,然后是该部分内容的描述信息,然后一个回车,然后是描述信息的具体内容;如果传送的内容是一个文件的话,那么还会包含文件名信息,以及文件内容的类型。最后会以–分割符–结尾,表示请求体结束。

    Python>

    如下,我们要模拟post如下的数据包,那我们如何发送post的数据携带以下红色框中的参数了? 

    1. 重要代码如下

    data = {"id":(None,'899')}
    requests.post(xx,files=data)

    2. headers中的Content-Type需要注释掉,发送请求的时候会被自动加上,否则会报错

    编写的python requests请求脚本如下

    运行然后使用proxychains抓取流量如下,成功模拟的请求发送

    再次提醒:Content-Type需要注释掉!很重要!!1

    补充知识:multipart/form-data>

    比如请求参数是:

    --e0ed233c-3202-47c6-9c96-f9181e308
    Content-Disposition: form-data; name="id"
    Content-Transfer-Encoding: binary
    Content-Type: application/json; charset=UTF-8
    Content-Length: 13
    
    234545878
    --e0ed233c-3202-47c6-9c96-f9181e308
    Content-Disposition: form-data; name="type"
    Content-Transfer-Encoding: binary
    Content-Type: application/json; charset=UTF-8
    Content-Length: 1
    
    1
    --e0ed233c-3202-47c6-9c96-f9181e308--

    也就是说,有2个 key -> id 和 type

    fields={
            "id": '234545878',
            "type": '1'
        }
    

    直接这样发请求,会失败。⬆️

    encode一下就能发请求了。⬇️

    from requests_toolbelt.multipart.encoder import MultipartEncoder
    
    multipart_data = MultipartEncoder(
        fields={
            "id": '1653302392217',
            "read_duration_list": read_duration_list,
            "now": now,
            "type": '1'
        }
    )
    header['Content-Type'] = multipart_data.content_type
    header['accept'] = 'application/json'
    

    总结

    到此这篇关于python使用requests库提交multipart/form-data请求的文章就介绍到这了,更多相关python提交multipart/form-data请求内容请搜索易采站长站以前的文章或继续浏览下面的相关文章希望大家以后多多支持易采站长站!

    如有侵权,请发邮件到 [email protected]

相关文章