中国电信网上营业厅无法登录，总是提示验证码过期

JDF2008

S8F8ry 发表于 2023-8-16 22:00
那只是显示出来方便辨别的，你可以直接在顶部的过滤框里面搜索相的路径就行了。
另外你找到以后顺便还 ...

在控制台里运行，这个在哪里操作？我点控制台只看到过滤框

S8F8ry

JDF2008 发表于 2023-8-17 09:10
在控制台里运行，这个在哪里操作？我点控制台只看到过滤框

那个 ">" 符号后面可以直接输入内容运行，如下图：

JDF2008

S8F8ry 发表于 2023-8-17 11:55
那个 ">" 符号后面可以直接输入内容运行，如下图：

刚刚试了下new Date(1692254518370)，显示的跟电脑的时间是一致的。

S8F8ry

JDF2008 发表于 2023-8-17 14:39
刚刚试了下new Date(1692254518370)，显示的跟电脑的时间是一致的。

/web/checkcapcode 的"载荷"也是对应一致的？

JDF2008

S8F8ry 发表于 2023-8-17 19:01
/web/checkcapcode 的"载荷"也是对应一致的？

上面搜索/web/checkcapcode ，在"载荷"那里显示的capcode复制出来，在下面控制台运行，显示的时间跟电脑时间也是一致。

S8F8ry

JDF2008 发表于 2023-8-17 23:02
上面搜索/web/checkcapcode ，在"载荷"那里显示的capcode复制出来，在下面控制台运行，显示的时间跟电脑 ...

奇怪，后端应该就是校验的这个 capcode 是否存在，理论上现在看应该是正常的 。那我只能想到有一种特殊的情况导致现在这样验证一直出现异常，那就是发送的 POST 请求中整个数据包内容太大，也就是附加的 Cookie 内容部分长度过长了，然后导致后端在读取接收到的请求时，载荷那部分的内容其实根本就没有读取到或者是读取并不完整，所以这个 capcode 相当于丢失了。这也许也就能解释为什么在清了一遍网站的 Cookie 后验证又能正常工作。等我晚上有时间试试看这个理论是否真的可能在现实中发生 。

JDF2008

S8F8ry 发表于 2023-8-18 12:45
奇怪，后端应该就是校验的这个 capcode 是否存在，理论上现在看应该是正常的 。那我只能想到有一 ...

8月之前访问电信网厅都很正常，从8月份开始出现这种问题，uBlock把电信网厅地址加入到白名单也没有用。

S8F8ry

现在我已经找到一种能够手动实现这种无限验证码过期的方法，就是做一个假的 "JSESSIONIDWEB-PROD" Cookie 值，如下图：



(注：这里真的与假的 "JSESSIONIDWEB-PROD" 是共存的。)

假的 "JSESSIONIDWEB-PROD":

(为了能共存，用点前缀的 Domain)

这是请求响应中设置的 "JSESSIONIDWEB-PROD":



然后发出的 /web/checkcapcode 请求中附带的 Cookie 就变成如下这样：





并且无论如何刷新验证码图片，最终验证的结果始终是过期。因为请求的响应头中设置的 Cookie 是在 "login.189.cn" 域上，而我手动做的假 Cookie 是在 ".login.189.cn" 域上，始终不会被覆盖掉。

按照上述实现该问题过程，我猜想会不会是你那边因为某些奇怪的原因同样造成了上述描述的情况，即存在一个始终无法被请求覆盖掉的 "JSESSIONIDWEB-PROD" Cookie 值，而其值是以前写入的，所以现在再去用在验证上时肯定是已过期的了。不过我不太了解在现实中有什么操作会导致产生这种行为，毕竟上述是我手动实现的。

JDF2008

S8F8ry 发表于 2023-8-18 21:22
现在我已经找到一种能够手动实现这种无限验证码过期的方法，就是做一个假的 "JSESSIONIDWEB-PROD" Cookie  ...

User Data\Default\IndexedDB\
这个目录下的文件之前我清理过一部分，不知道有没有影响

S8F8ry

JDF2008 发表于 2023-8-19 00:20
User Data\Default\IndexedDB\
这个目录下的文件之前我清理过一部分，不知道有没有影响 ...

应该不会有影响，我觉得这更可能是网站里的某个页面意外设置了这样的 Cookie 值。