Помогите! Как узнать url всплывающего окна? Просматриваю код элемента (кнопки, которая его открывает), но там только такое:

Войти

Можно каким нибудь http снифером глянуть (plug. HttpFox for FF).

Поставь в ФФ плагин Firebug http://getfirebug.com/

Нифига, и снифером смотрел, пришел к выводу, что страницу в браузере формирует js, который в нем же выполняется. Но как найти этот js? Через браузер я могу спокойно просмотреть код всплывающего элемента и увидеть, что мне нужно, но как открыть его в URL?

не пойму для чего вам это надо? Чтоб заполнить форму во всплывающем окне и отправить её? Или для чего?

поясню, мне надо спарсить CSRF-токен

Был у меня похожий вопрос, может, что-то типа Acunetix+deep crawling?

спарсил я токен, но появилась проблема:

-boundary

указываетчся как параметр в заголовке content type

как он формируется?

выглядит так: ---------------------------4962140363242

Возникла такая же проблема. Можете рассказать, как вы её рышили? Можно ли как-то получить страницу, на которой уже выполнились все яваскрипты?

браузером рандомно

нужен для того, чтобы разграничить разные части mutipart-запроса, например, два разных файла

если ты пишешь какой-то парсер, то можешь просто захардкодить достаточно длинную уникальную строку

чуть-чуть информации можешь найти в вики в примере и пару строк под примером

https://ru.wikipedia.org/wiki/Multipart/form-data

Нужно смотреть не исходный код, а DOM-модель страницы. В разных браузерах инструменты для разработчика называются по-разному, но хоткеи обычно совпадают - Ctrl+Shift+I

если это мне, то я знаю как в ручную это сделать, а как это сделать во время парсинга програмно - не понятно

altai, это было всем.

Программно можно выполнить JS интерпретатором или переписать код JS на нужный ЯП. Если интересует только AJAX, он перехватывается так же, как все остальные HTTP-запросы.

Есть такая фигня, открываешь сайт, печатать её в адресной строке после javascript:, и она пишет тебе все урлы js на сайте, которые ты видишь в алерте

А вот и рандомно, да не всегда. Написано же, по спец. Алгоритму. Как узнать алгоритм? Я подставил другие значения и запрос не проходит. Вообще зачем генерировать что-то? Как проверяется потом валидность сгенерированного значения?

Это вырвано из контекста, там другое написано.

"boundary (граница) — это последовательность байтов, которая не должна встречаться внутри закодированного представления данных части." Все просто и понятно, никаких дополнительных условий нет.

"Обычно клиент (браузер) генерирует эту последовательность случайно или по специальному алгоритму." В данном случае клиент - это твой софт. Как ты напишешь алгоритм, такой он и будет.

Алгоритм, как написали выше выбираешь ты сам

Смотри

В том случае, когда ты используешь application/x-www-form-urlencoded ты посылаешь несколько параметров разделенных амперсандом

Сервер получая такой запрос, знает, что между & и = находится название параметра, между = и & - значение и он может распарсить их

Multipart/form-data часто используется для передачи файлов и никто не может гарантировать, что в бинарном формате твоего файла не встретится что-то вроде & или =

Поэтому ты говоришь: сервер, смотри, я использую Asrf456BGe4h для разделения разных частей запроса

и дальше формируешь запрос

и сервер прочитав хедер content-type может распарсить этот запрос и при генерации boundary рандомно и достаточно большой длины с высокой долей вероятности не возникнет проблем с тем, что внутри приаттаченного файла есть данные, которые сломают серверу парсинг

Спасибо за подробное объяснение, я с этим уже и так разобрался, но. Отправляю, запрос с сайта, он проходит, нажимаю в просмотре заголовков реплей, меняю значение

boundary в заголовке и в пост-запросе - вываливается ошибка, что вроде как неверный csrf токен, если значение boundary я не меняю, реплей проходит нормально

В какой программе?

Плагин для мадзиллы

Попробуй charles.

А что, смена программы разве выход? Ошибку выдает не программа, а сайт! Реплей с другими изменениями параметрами обрабатывает корректно

В данном случае ошибка не в сайте, а в программе или человеке. Смена программы поможет это выяснить.

Если через charles не будет работать, тогда по его скринам в этой теме можно будет найти ошибку.

Не, ну я конечно попробую, однако сомневаюсь. Вот с чем это связано. Не понятно, почему браузера генерит число при каждом запросе. Это первое. Второе, сам токен в форме не меняется, и связан с сессий. Третье я уже сказал, при смене числа разделителя вылезает ошибка с токеном. Вообщем предположение следующее

В странице кроме токена в скрытом поле, еще и передаётся некий рандомно код вроде соли для токена, сама соль и является разделителем, либо она может передаваться в заголовке

Обычно сам токен передается в заголовке.

в смысле я передаю, или сервер мне передает?

Клиент передает один токен в теле запроса и второй такой же в заголовке (в куках или отдельным заголовком). Это нужно для защиты от CSRF и XSS.

нет, у меня только в теле. С boundary я разобрался, говорю вам спасибо

Включаешь режим отладки в гугл хроме (F12) и смотришь в окошке Network откуда растут ноги у загружаемого окна.

Но, конкретно у тебя окно не загружается. Оно прописано в коде - ищи что-то типа div id="auth" - этот див вызывается через data-target атрибут модальным плагином