惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

博客园_首页
阮一峰的网络日志
阮一峰的网络日志
S
Secure Thoughts
Threat Intelligence Blog | Flashpoint
Threat Intelligence Blog | Flashpoint
C
Cyber Attacks, Cyber Crime and Cyber Security
T
Threat Research - Cisco Blogs
P
Privacy & Cybersecurity Law Blog
The Hacker News
The Hacker News
H
Heimdal Security Blog
W
WeLiveSecurity
L
LINUX DO - 热门话题
Hacker News: Ask HN
Hacker News: Ask HN
WordPress大学
WordPress大学
The Last Watchdog
The Last Watchdog
Hugging Face - Blog
Hugging Face - Blog
博客园 - 【当耐特】
D
DataBreaches.Net
I
Intezer
Webroot Blog
Webroot Blog
C
Cisco Blogs
AWS News Blog
AWS News Blog
博客园 - 聂微东
T
The Blog of Author Tim Ferriss
V
Vulnerabilities – Threatpost
罗磊的独立博客
Google DeepMind News
Google DeepMind News
N
Netflix TechBlog - Medium
Schneier on Security
Schneier on Security
宝玉的分享
宝玉的分享
博客园 - 叶小钗
PCI Perspectives
PCI Perspectives
D
Docker
Scott Helme
Scott Helme
NISL@THU
NISL@THU
J
Java Code Geeks
B
Blog RSS Feed
Google Online Security Blog
Google Online Security Blog
OSCHINA 社区最新新闻
OSCHINA 社区最新新闻
T
The Exploit Database - CXSecurity.com
AI
AI
美团技术团队
Cloudbric
Cloudbric
月光博客
月光博客
P
Proofpoint News Feed
T
Tailwind CSS Blog
Google DeepMind News
Google DeepMind News
小众软件
小众软件
www.infosecurity-magazine.com
www.infosecurity-magazine.com
The Cloudflare Blog
cs.CV updates on arXiv.org
cs.CV updates on arXiv.org

博客园 - pmh905001

pycharm的没落,vs code的兴起 爬虫-今日头条我的收藏-增量式下载网页内容(五) 爬虫-今日头条我的收藏-增量式导入到Elastic Search(四) 今日头条源代块一行代码很长情况下的拖动问题 爬虫-今日头条我的收藏-增量式导入到mongodb(三) 爬虫-今日头条我的收藏-增量式(二) openpyxl一个bug 爬虫-今日头条我的收藏(一) pystray被隐藏菜单项显示出来的问题 pyinstaller生成的exe程序使用使用默认程序打开execel文件 pyinstaller生成的exe文件的所在的工作目录问题 windows下python的keyboard库在锁屏之后再次登陆快捷键(热键)失效问题 pyinstaller 报错ImportError: No module named _bootlocale windows下gitbash 鼠标左键选中文字自动自行终止命令 ctrl+c ^C spring-security 如何使用用户名或邮箱登录 tomcat jndi context.xml的特殊字符转义问题 struts2的优缺点以及如何改造 jetty-maven-plugin 版本导致jetty启动失败问题 Eclipse下pom.xml的提示 Cannot access defaults field of Properties
爬虫-今日头条我的收藏-反爬虫分析(六)
pmh905001 · 2026-01-31 · via 博客园 - pmh905001

技术复盘:今日头条收藏列表接口爬取方案演进分析


​一、问题背景​

近期维护的今日头条收藏列表爬虫出现功能失效,原基于Python requests库的接口调用方案无法正常工作。核心问题表现为:

  1. ​请求特征暴露​:requests库默认携带的User-Agent: python-requests/x.x等标识信息,触发头条反爬系统的客户端指纹识别机制。

  2. ​动态参数防御​:接口新增msToken(动态令牌)和a_bogus(设备指纹签名)参数,二者均具备动态生成特性​:

    • msToken:服务端生成的182位随机字符串,7天有效期内需动态续取

    • a_bogus:前端生成的168位哈希值,每次请求强制刷新


​二、技术尝试与失败分析​

​方案一:CURL命令模拟(表面验证通过,实际失效)​​
  • ​实现逻辑​:通过浏览器开发者工具提取有效CURL命令,尝试复用请求参数

  • ​失败原因​:

    1. ​静态参数陷阱​:max_behot_time等分页参数依赖接口历史响应,但头条已升级为服务端游标控制模式

    2. ​动态签名失效​:a_bogus依赖浏览器环境生成的设备指纹​(CPU核心数、内存容量等),CURL无法复现真实环境

    3. ​行为特征差异​:CURL请求缺少浏览器特有的Sec-Fetch-*系列安全头字段

​核心参数失效机制​

参数

生成位置

核心逻辑

时效性

防爬强度

msToken

服务端/前端

随机字符串/接口获取

7天

a_bogus

前端

设备指纹+哈希+魔改Base64

单次有效


​三、技术路线调整​

基于上述分析,原基于requests的纯接口调用方案已不可行。现规划以下替代方案:

​方案二:浏览器环境模拟(推荐方向)​​
  • ​技术路线​:采用Playwright/Selenium等无头浏览器工具,完整复现浏览器行为链

  • ​关键突破点​:

    1. ​会话保持​:通过Cookie持久化存储维持登录态

    2. ​动态参数捕获​:通过浏览器开发者工具拦截并还原a_bogus生成逻辑

    3. ​设备指纹伪造​:注入自定义JavaScript重写navigator对象属性


​四、后续实施计划​

  1. ​环境搭建​:部署无头浏览器集群(建议使用Chromium内核)

  2. ​参数逆向​:通过Chrome DevTools Protocol捕获完整请求链

  3. ​系统集成​:开发动态参数注入模块与分布式任务调度