无法获取 Jmeter 的安全令牌

Question

我正在尝试对我所关注的应用进行一些基本的性能测试。

我正在使用 Jmeter 并完成了步骤记录器，并且与在 youtube 上遵循 Jmeter 教程相同，但是当我需要将变量放入 X-CSRF-Token 时我卡住了

问题是我在捕获的步骤中找不到 X-CSRF-Token。它是否使用其他形式的身份验证？对我的其他方法的任何建议都会很棒。

如果这篇文章没有多大意义，我真的对 Jmeter 或测试没有深入的了解。

Answer 1

要查找令牌出现的位置：

• 清除浏览器历史记录
• 使用 jmeter 记录模板记录您的场景
• 然后在位于 HTTP(s) 测试脚本记录器的视图结果树中，使用搜索字段查找它出现的第一个响应。您需要在相应的采样器中添加一个提取器
• 然后您就可以使用 ${varName} 注入它

Answer 2

根据您的服务器配置，X-CSRF-Token 可以进来：

• 在响应 HTML 正文中
• 在 response headers 中，检查 HTTP Header Manager 中是否存在任何硬编码值
• 作为HTTP Cookie（它基本上也是一个标头，但是从HTTP Cookie Manager 而不是从响应标头中获取它会更方便）

因此，请务必检查 View Results Tree 侦听器中第一个请求的所有选项卡，因为这个 X-CSRF-Token 家伙可以隐藏在任何地方。

您可以尝试另一种记录JMeter测试的方式，它可以在“SmartJMX”模式下导出测试，自动检测和关联任何动态参数，包括但不限于CSRF tokens，理论上它可以让您的生活更轻松，查看How to Cut Your JMeter Scripting Time by 80% 指南了解更多信息和技术细节。

如果您需要进一步的帮助，则必须提供更多详细信息，例如 2 个请求的完整转储以及响应。您可以使用像Wireshark 或Fiddler 这样的嗅探器工具来捕获它。