为了对Web浏览器的问题进行分类,我正在尝试确定XXX-xsrfstatemanager.js文件的发起者(XXX部分似乎是动态的,类似于随机数),该文件作为Google身份验证流程的一部分(使用OAuth)发生。
当我使用 Chrome 开发人员工具时,它说以下 URL 是启动器:
https://accounts.google.com/o/oauth2/v2/auth?approval_state=%21Ch[已编辑]Q%E2%88%99AJ[已编辑]xq&as=-aBk[已编辑]
查看上面页面的结果,看到很多Javascript,但是字符串"xsrfstatemanager"无处可寻,也没有看到任何其他javascript页面被包含。除非有一些非常神秘的代码以某种方式构建此URL,否则调用实际上来自其他页面。
有谁知道我怎样才能得到"真正的"发起人?或者,如果上述 URL 可能正确,如果我可以获得更多信息,例如发起呼叫的文件的确切行号?
顺便说一句,虽然我出于安全原因编辑了上面的 URL,但如果您转到(例如)www.quora.com 并快速"继续谷歌",很容易看到有问题的流程。
该流包括重定向,这就是为什么您无法看到启动/引用该脚本的源代码的原因。 如果您查看单击"继续使用Google"时打开的原始URL的来源,您将看到引用该URL的<script src>。这适用于Chrome,可能也适用于Safari -view-source:https://accounts.google.com/o/oauth2/auth?redirect_uri=storagerelay%3A%2F%2Fhttps%2Fwww.quora.com%3Fid%3Dauth488109&response_type=code%20permission%20id_token&scope=email%20profile%20openid&openid.realm=&client_id=917071888555.apps.googleusercontent.com&ss_domain=https%3A%2F%2Fwww.quora.com&access_type=offline&include_granted_scopes=true&prompt=select_account&origin=https%3A%2F%2Fwww.quora.com&gsiwebsdk=2
从源代码 -
<script src='https://ssl.gstatic.com/accounts/o/532969778-xsrfstatemanager.js' nonce="IgiKmQiLZIHDwGvce7/q6Q"></script>
您还可以使用 Fiddler 等工具查看重定向的源代码,或者在 Chrome 的开发者工具功能的"网络"面板中选中"保留日志",或者转到禁用 JavaScript 的原始 URL。