京东接口h5st的生成流程还是很清晰的
本篇分享x-api-eid-token 的生成方式以及逆向的经验。
1. 打开页面之后,寻找x-api-eid-token的生成接口。
就是这个jstk.do 的接口,其中a参数和d参数都是需要处理的加密参数。
2. 点击接口启动器,尝试寻找入口。
3. 点击进入m-tk.js文件,发现是个eval方法,生成了一段代码在内存中执行。
4. 再次点击启动器,进入vm文件中,到这里需要全部复制下来,同时在doCollectFp 方法前打上断点。刷新页面再次请求数据的时候,会得到我们需要的参数。
5. 代码复制下来之后,直接在ide中执行,并在doCollectFp方法执行返回接口地址和参数。
6.执行的时候,发现报错,这里就是补环境,用jsdom进行补充环境,再次执行就OK了。
7. 调用doCollectFp方法的时候,发现返回的参数长度和实际的长度不一致。这就需要调试,最简单的方式就是浏览器中断点和ide中同时断点,仔细检查参数即可。
8. 调用接口,成功获取到了结果。
第一步完成,剩下的就是生成h5st了。这部分内容之前分享过,依然可以使用!