使用 Chrome 开发者工具获取 XXX-xsrfstatemanager.js 文件的发起者答案

【问题标题】：Getting initiator of XXX-xsrfstatemanager.js file using Chrome Developer Tools使用 Chrome 开发者工具获取 XXX-xsrfstatemanager.js 文件的发起者
【发布时间】：2019-08-27 20:48:45
【问题描述】：

为了对网络浏览器的问题进行分类，我正在尝试确定发生的 XXX-xsrfstatemanager.js 文件的发起者（XXX 部分似乎是动态的，例如随机数）作为 Google 身份验证流程的一部分（使用 OAuth）。

当我使用 Chrome 开发者工具时，它说下面的 URL 是发起者：

https://accounts.google.com/o/oauth2/v2/auth?approval_state=%21Ch[REDACTED]Q%E2%88%99AJ[REDACTED]xq&as=-aBk[REDACTED]

查看上面页面的结果，看到很多 Javascript，但是找不到字符串“xsrfstatemanager”，也没有看到包含任何其他 javascript 页面。除非有一些非常神秘的代码以某种方式构建此 URL，否则调用实际上来自其他页面。

有谁知道我怎样才能得到“真正的”发起者？或者如果上面的 URL 可能是正确的，我是否可以获得更多信息，例如发起调用的文件的确切行号？

顺便说一句，虽然我出于安全原因编辑了上述 URL，但如果您访问（例如）www.quora.com 并快速“使用 google 继续”，很容易看到有问题的流程。

【问题讨论】：

标签： javascript google-chrome authentication google-authentication

【解决方案1】：

流程包含一个重定向，这就是为什么您看不到启动/引用该脚本的源代码的原因。如果您查看单击“继续使用 Google”时打开的原始 URL 的来源，您将看到引用它的 <script src>。这适用于 Chrome，可能还有 Safari - view-source:https://accounts.google.com/o/oauth2/auth?redirect_uri=storagerelay%3A%2F%2Fhttps%2Fwww.quora.com%3Fid%3Dauth488109&response_type=code%20permission%20id_token&scope=email%20profile%20openid&openid.realm=&client_id=917071888555.apps.googleusercontent.com&ss_domain=https%3A%2F%2Fwww.quora.com&access_type=offline&include_granted_scopes=true&prompt=select_account&origin=https%3A%2F%2Fwww.quora.com&gsiwebsdk=2

来自源代码-

<script src='https://ssl.gstatic.com/accounts/o/532969778-xsrfstatemanager.js' nonce="IgiKmQiLZIHDwGvce7/q6Q"></script>

您还可以使用 Fiddler 等工具查看重定向的源代码，或者在 Chrome 的开发者工具功能的网络面板中检查“保留日志”，或者在禁用 JavaScript 的情况下转到原始 URL。

【讨论】：

感谢您的回复。我对你建议的一些事情有疑问。当我检查“保留日志”并尝试使用 Chrome 开发人员工具时，我似乎没有看到“转发...”页面。此外，当我尝试在 Chrome 上禁用 JS 并单击“继续使用 Google”链接时，我得到“quora.com/#”，并且该来源也没有“转发...”内容。我错过了什么吗？
@Locksleyu - 启用“保留日志”，在设置中，您可以启用“自动打开 DevTools 弹出窗口”并单击“使用 Google 继续”按钮。在打开的新开发者工具中，您可以看到重定向（网络面板中的第一个条目）。然后你可以获取它的 URL（它是一个静态 URL，至少在 Quora 的情况下）。然后，您可以在选项卡中打开它，方法是在其前面加上 view-source:，或者打开一个新选项卡，打开开发者工具并在设置中禁用 JavaScript，然后导航到 URL。