Urllib和请求始终返回状态代码200

调试方法是在浏览器（403）和代码（200）中尝试，比较请求头，并对差异进行二分法。

--

我使用Chrome的devtools中的“网络”面板，并使用请求，这样我就可以打印（page.request.headers）。

从Chrome：

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8
Accept-Encoding: gzip, deflate
Accept-Language: en-US,en;q=0.9
Cache-Control: max-age=0
Connection: keep-alive
Cookie: __test=9eea7a0d55374cb5b0673e2058581017
Host: switch-check.cf
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/67.0.3396.99 Safari/537.36

从请求：

User-Agent python-requests/2.18.4
Accept-Encoding: gzip, deflate
Accept: */*
Connection: keep-alive

甚至在到达这些标题之前：Chrome请求index.php?i=1而不仅仅是index.php。所以很明显，当我不注意的时候，有一个重定向。重定向不会发生在请求中，这意味着它可能是脚本化的。

同时，我知道我说过要一分为二，但那里有一块饼干的事实立即令人怀疑。

所以，让我们看看实际的200响应，通过一个漂亮的打印机运行：

<html>

<body>
    <script type="text/javascript" src="/aes.js"></script>
    <script>
        function toNumbers(d) {
            var e = [];
            d.replace(/(..)/g, function(d) {
                e.push(parseInt(d, 16))
            });
            return e
        }

        function toHex() {
            for (var d = [], d = 1 == arguments.length && arguments[0].constructor == Array ? arguments[0] : arguments, e = "", f = 0; f < d.length; f++) e += (16 > d[f] ? "0" : "") + d[f].toString(16);
            return e.toLowerCase()
        }
        var a = toNumbers("f655ba9d09a112d4968c63579db590b4"),
            b = toNumbers("98344c2eee86c3994890592585b49f80"),
            c = toNumbers("c4ba932dbf1d8d33ca88410be4f79eb0");
        document.cookie = "__test=" + toHex(slowAES.decrypt(c, 2, a, b)) + "; expires=Thu, 31-Dec-37 23:55:55 GMT; path=/";
        location.href = "http://switch-check.cf/index.php?i=1";
    </script>
    <noscript>This site requires Javascript to work, please enable Javascript in your browser or use a browser with Javascript support</noscript>
</body>

</html>

这是你的问题。实际上，您并没有拒绝访问索引。php；您将返回一个200，其中包含一些添加随机cookie的JavaScript，然后重定向到索引。php？i=1。这就是你拒绝他们的地方。

触发403的是cookie还是重定向？让我们对两种请求都进行尝试：

>>> r = requests.get('http://switch-check.cf/index.php', headers={'Cookie': '__test=9eea7a0d55374cb5b0673e2058581017'})
>>> r.status_code
403

>>> r = requests.get('http://switch-check.cf/index.php?i=1')
>>> r.status_code
200

所以，您只禁止基于JavaScript生成的cookie的访问。

如果我们只是送一个废话饼干呢？

>>> r = requests.get('http://switch-check.cf/index.php', headers={'Cookie': '__test=' + '0'*32})
>>> r.status_code
403
>>> r = requests.get('http://switch-check.cf/index.php', headers={'Cookie': '__test=' + str(uuid.uuid4().hex})
>>> r.status_code
403

哇！它实际上必须是正确的cookie，服务器期望的cookie，否则您不会被拒绝？这与你通常想要的逻辑相反。

您可以编写一些urllib或请求代码来像浏览器那样进行合作——要么运行JS解释器，要么解析三个数字并AES它们，然后自己构建一个cookie。但这似乎是一件愚蠢的事情。

正确的做法是将服务器更改为实际禁止访问索引。php，而不是返回JS代码，该代码生成一个特殊的cookie，允许您在需要时被禁止。

你是怎么做到的？

那么你说,

在. htaccess和php的帮助下，我尽了最大努力，所有. php文件都是禁止访问的

首先，据我所知，您认为您正在使用Apache，并且正在遵循一些指南来禁止Apache中的访问，但实际上您正在使用nginx。（查看响应中的服务器标题。）

同时，我不知道你在PHP中做什么，但是你可能得到了一些代码，这些代码要求运行有效JS的浏览器提供一个有效的cookie，这（a）是错误的，并且是反向的，（b）过于复杂，（c）不是你一开始想要的。

我不知道这里是否有PHP问题，或者关于服务器故障的nginx问题，或者其他问题。但这是你需要修复的一面。