获取 Amazon Fiona (Kindle) CSRF 令牌

Getting hold of Amazon Fiona (Kindle) CSRF token

亚马逊有 administration page for content sent to your Kindle。此页面使用未记录的 HTTP API 发送这样的请求:

{
  "csrfToken":"gEABCzVR2QsRk3F2QVkLcdKuQzYCPcpGkFNte0SAAAAAJAAAAAFkUgW5yYXcAAAAA",
  "data":{"param":{"DeleteContent":{"asinDetails":{"3RSCWFGCUIZ3LD2EEROJUI6M5X63RAE2":{"category":"KindlePDoc"},"375SVWE22FINQY3FZNGIIDRBZISBGJTD":{"category":"KindlePDoc"},"4KMPV2CIWUACT4QHQPETLHCVTWEJIM4N":{"category":"KindlePDoc"}}}}}
}

我为他们之前使用的 API 做了一个 wrapper library,但是这次他们添加了 CSRF 令牌,使每个会话都是唯一的。这有点碍事,我想知道如何才能拿到这些代币。我没有在饼干里找到它。这是用于 Chrome 扩展,因此像 CORS 这样的问题不是问题。

实际上,在 "XHR" 和 "Doc" 选项卡中手动搜索每个请求的 Response 选项卡后,我发现此标记是在 myx.html(主页):

var csrfToken = "gPNABCIemSqEWBeXae3l1CqMPESRa4bXBq0W7rCIAAAAJAAAAAFkUlo1yYXcAAAAA";

这意味着它是在 window 对象上设置的,使其可供那里的所有人使用。我想这意味着 Chrome 扩展需要获取此页面并手动解析 html 以检索此令牌。悲伤,但可行,虽然非常脆弱:-(