前言
头条的加密参数_signature其实可以通过搜索来直接定位到关键位置,我们换种定位的方法
定位
先查看下堆栈,直接在第一个XMLHttpRequest.send的位置下上断点,然后下拉触发断点
这个位置还有其他请求,这里只看/api/pc/list/feed,可以看到this的openArgs里面的uri参数已经包含了_signature,所以我们追上面的堆栈
前面的那些栈就不看了,因为并没有找到this.openArgs被赋值的地方,直接看下面的这个
在var h = new XMLHttpRequest;下上断点,并取消之前所有的断点
可以看到url是在h.open这一行被赋值的,e.params就是请求的参数
e来源于上面的参数,在第一行打上断点,然后往前翻堆栈
同样在上一层的第一行打上断点,因为e又是来源于参数
这时候堆栈没有上一层了,说明是异步调用的,看Promise.then(async) 里的调用栈。点第一个c.request
关键代码在上图中的框起来的那个循环(当然这个是后话,因为单从这里无法判断这里就是加密的关键位置,需要单步走下去看看e到哪里生成的),下面的代码是先往t数组中push一些函数,unshift和push是一个意思,只是加到数组的头部
this.interceptors.request.forEach((function(e) {
t.unshift(e.fulfilled, e.rejected)
}
)),
this.interceptors.response.forEach((function(e) {
t.push(e.fulfilled, e.rejected)
}
))
然后进入循环,打上断点,可以看到n就是Promise
for(;t.length;){
n = n.then(t.shift(), t.shift());
}
上面的代码修改成同步的,数组的函数就是this.interceptors.request和this.interceptors.response两个数组里面的函数
for(;t.length;){
// 弹出t数组头部的第一个元素
var fulfilled = t.shift();
// 执行这个函数
fulfilled();
var rejected= t.shift();
rejected();
}
可以看出t里面有十个元素,其中有五个函数,点进去第一个看看代码
来到了下面的代码,因为是请求加密所以我们只看interceptors.request就可以了,正常的话是在所有的interceptors.request函数里都打上断点,但是下面的代码已经很明显出现了_signature: n,所有先在这一行打上断点
加密代码就是var n = I(F.getUri(e), e);这个,F.getUri(e)的值是/api/pc/list/feed?channel_id=0&max_behot_time=1676120482&category=pc_profile_recommend&aid=24&app_name=toutiao_web,这个就是url里面的uri。e是一个包含很多内容的对象,先不管,先进去I函数里面看看
函数看起来有很多行,简化一下就下面几行
function I(e, t){
var r = "https://www.toutiao.com";
var o = {
url: r + e
};
return window.byted_acrawler.sign(o);
}
关键就在于window.byted_acrawler.sign这个函数,鼠标悬上面,然后点进去看一下
进到acrawler.js
也就是说window.byted_acrawler.sign是这个js里面导出的函数,那么只需要运行这个js就可以得到window.byted_acrawler对象了
新开一个标签页,在snippets创建一个脚本,然后把acrawler.js内容复制到里面,可以看到最开始window.byted_acrawler是没有值的,运行这个js后就出现了值
测试一下加密,发现加密的结果短了很多。这里看过其他文章就知道,是因为少了cookie,只要加上cookie,结果就是长的
补环境
这个就不说了,我也是用的别人的框架。