如何对使用 ValidateAntiForgeryToken 的网站进行负载测试？

Question

我想在一个对多个 HttpPost 使用 ValidateAntiForgeryToken 的网站上执行负载测试。但是，正如您所期望的，当我运行负载测试脚本时，我收到了许多 500 错误，因为 __RequestVerificationToken 要么是从早期请求复制的，要么是空白的。两者都失败了。

有没有什么方法可以加载我在 HttpPost 方法上使用 ValidateAntiForgeryToken 属性的测试站点？

我尝试使用 StresStimulus 和 SmartBear 的 LoadComplete 进行测试。

Answer 1

如果您使用的是 fiddler 和 http://stresstimulus.stimulustechnology.com/ （我没有使用过）我必须想象您可以先登录，然后使用该会话作为您的负载。 AntiForgeryTokens 不是一次性的，只要 cookie 存在用于您的身份验证信息以及在登录会话期间生成的防伪令牌，就应该没问题。

Answer 2

我对 StressStimulus 也有同样的问题。提交到站点的某些表单失败，因为运行记录的请求时未更新 __RequestVerificationToken。 {{自相关}} 在我的情况下不起作用。我使用正则表达式提取器来解决它。这是 链接到我在 StressStimulus 上的帖子

Answer 3

如果没有看到您正在处理的场景的详细信息，就很难确定。但我们已经能够自动化许多此类动态字段以进行负载测试（我们唯一无法绕过的是那些需要人工输入的字段，即验证码）。一般来说，您需要找到 __RequestVerificationToken 字段的值来自哪里 - 无论是 cookie、javascript 计算、隐藏表单字段等。找到该字段后，您可以提取或计算该值作为负载测试场景并将其与请求一起发送。如果我没记错的话，我们之前已经解决了这个问题，没有做太多工作 - 如果您愿意让我们尝试解决这个问题，联系我们。一般来说，我们可以比您提到的任何一种解决方案更优雅地处理这些类型的问题。