当前位置: 首页 > news >正文

B站评论删除 API 逆向分析:3 个关键参数 (oid, type, csrf) 获取与实战

B站评论删除API逆向工程实战:关键参数解析与自动化操作指南

1. 理解B站评论删除机制的核心逻辑

在视频平台内容管理中,评论删除功能涉及复杂的权限验证和数据交互流程。B站的评论删除API采用了一套基于Web安全标准的防护机制,主要依赖三个关键参数实现身份验证和操作授权:

  • oid:目标内容的对象标识符,相当于数据库中的主键
  • type:内容类型分类代码,决定API路由路径
  • csrf:跨站请求伪造令牌,用于防止未授权操作

通过Chrome开发者工具分析网络请求时,可以看到典型的删除请求结构如下:

POST /x/v2/reply/del HTTP/1.1 Host: api.bilibili.com Content-Type: application/x-www-form-urlencoded oid=123456789&type=1&rpid=987654321&csrf=abcdef0123456789

注意:实际操作中必须使用已登录状态的Cookie,否则csrf验证会失败。每个用户的csrf令牌具有唯一性和时效性。

2. 关键参数获取方法论

2.1 oid参数的定位技巧

oid(Object ID)根据内容类型不同,其获取方式存在差异:

内容类型oid来源示例值范围
视频视频AV号或BV号转换8-10位数字
专栏文章文章cv编号7-9位数字
动态动态did11位数字
音频音频au编号6-8位数字

在网页端可通过以下JavaScript代码快速获取当前页面的oid:

// 视频页面 window.__INITIAL_STATE__.aid // 动态页面 window.__INITIAL_STATE__.dynamic.id

2.2 type参数枚举表

type参数采用固定数值对应不同内容类型:

数值内容类型典型应用场景
1视频主站视频评论
11专栏文章评论区
17动态用户动态互动
14音频音乐区内容评论
12课程课堂类内容

2.3 csrf令牌的三种获取方式

  1. Cookie提取法

    document.cookie.match(/bili_jct=([^;]+)/)[1]
  2. 页面元素提取

    # 使用BeautifulSoup解析 soup.find('meta', {'name': 'csrf_token'})['content']
  3. API响应提取

    curl -s 'https://api.bilibili.com/x/web-interface/nav' | jq '.data.token'

3. 实战操作:构建自动化删除工具

3.1 浏览器开发者工具操作流程

  1. 打开目标内容页面(视频/动态/专栏)
  2. 右键点击评论 → 选择"检查"
  3. 切换到Network面板 → 勾选Preserve log
  4. 执行删除操作 → 观察新增的POST请求
  5. 复制请求中的Form Data参数

3.2 Python自动化脚本示例

import requests def delete_comment(oid, rpid, type_, csrf, cookie): url = "https://api.bilibili.com/x/v2/reply/del" headers = { "User-Agent": "Mozilla/5.0", "Cookie": cookie } data = { "oid": oid, "type": type_, "rpid": rpid, "csrf": csrf } response = requests.post(url, headers=headers, data=data) return response.json() # 示例调用 result = delete_comment( oid="12345678", rpid="56789012", type_=1, csrf="abcdef123456", cookie="SESSDATA=xxxxxx; bili_jct=yyyyyy" ) print(result)

提示:实际使用时需要替换为真实的参数值和Cookie信息,建议通过环境变量管理敏感数据。

4. 安全机制与反爬策略应对

B站的API防护体系主要包含以下安全层:

  1. 请求频率限制

    • 单IP每分钟不超过60次请求
    • 相同操作间隔需大于5秒
  2. 签名验证

    • 关键参数需要MD5哈希校验
    • 时间戳参与签名计算
  3. 行为验证

    • 异常操作触发Geetest验证
    • 账号行为模式分析

应对建议:

  • 添加随机延迟(3-10秒)
  • 使用真实浏览器UA头
  • 避免集中批量操作

5. 高级应用:评论管理系统设计

对于需要管理大量内容的UP主,可以构建基于Flask的Web管理界面:

from flask import Flask, request import sqlite3 app = Flask(__name__) @app.route('/manage', methods=['POST']) def manage_comments(): conn = sqlite3.connect('comments.db') c = conn.cursor() # 获取待处理评论列表 c.execute("SELECT * FROM pending_comments WHERE status=0") comments = c.fetchall() for comment in comments: result = delete_comment( oid=comment[1], rpid=comment[2], type_=comment[3], csrf=request.form['csrf'], cookie=request.form['cookie'] ) if result['code'] == 0: c.execute("UPDATE pending_comments SET status=1 WHERE id=?", (comment[0],)) conn.commit() conn.close() return {'status': 'success'}

配套数据库schema设计:

CREATE TABLE pending_comments ( id INTEGER PRIMARY KEY, oid INTEGER NOT NULL, rpid INTEGER NOT NULL, type INTEGER NOT NULL, content TEXT, post_time DATETIME, status INTEGER DEFAULT 0 );

6. 异常处理与日志记录

完善的错误处理机制应包含以下组件:

  1. 重试机制

    from tenacity import retry, stop_after_attempt, wait_exponential @retry(stop=stop_after_attempt(3), wait=wait_exponential(multiplier=1, min=4, max=10)) def safe_delete(oid, rpid, type_, csrf, cookie): return delete_comment(oid, rpid, type_, csrf, cookie)
  2. 日志记录

    import logging logging.basicConfig( filename='comment_mod.log', format='%(asctime)s - %(levelname)s - %(message)s', level=logging.INFO ) try: result = safe_delete(...) logging.info(f"Deleted rpid:{rpid} oid:{oid}") except Exception as e: logging.error(f"Failed to delete {rpid}: {str(e)}")
  3. 结果验证

    • 检查返回JSON中的code字段
    • 验证ttl值是否为1
    • 确认message内容

7. 浏览器扩展开发方案

通过Chrome扩展可以更便捷地获取页面参数:

// manifest.json { "manifest_version": 3, "name": "B站评论管理助手", "version": "1.0", "permissions": ["cookies", "https://*.bilibili.com/*"], "action": { "default_popup": "popup.html" }, "content_scripts": [{ "matches": ["https://*.bilibili.com/*"], "js": ["content.js"] }] } // content.js chrome.runtime.onMessage.addListener((request, sender, sendResponse) => { if (request.action === "getCommentInfo") { const oid = window.__INITIAL_STATE__.aid; const csrf = document.cookie.match(/bili_jct=([^;]+)/)[1]; sendResponse({oid, csrf}); } });

扩展功能模块设计:

  • 当前页面参数自动获取
  • 评论列表可视化展示
  • 批量选择删除操作
  • 操作历史记录查询
http://www.jsqmd.com/news/1137910/

相关文章:

  • 24V DC-DC降压芯片PW2312B/PW2815,SOT23-6到SOP8-EP方案对比
  • Si4731与MKV42F256VLH16构建高性能嵌入式收音机系统
  • Ambari+Ranger+FreeIPA集成实战:证书制作与LDAPS信任链修复指南
  • 从零开始:15分钟搞定黑苹果EFI配置的智能工具OpCore-Simplify
  • Java应用红蓝对抗实战:从反序列化漏洞到内存马注入的攻防剖析
  • 鸿蒙新特性:图片画廊与轮播导航——构建沉浸式图片浏览体验
  • C# WinForm + MySQL 8.0 增删改查:3种数据操作方案对比与性能实测
  • Docker Toolbox 19.03.1 在 Windows Server 2012 R2 部署:3个关键配置与 2 个常见报错解决
  • MCP Server Boot Starters-Streamable-HT:快速构建大模型外部能力扩展的标准化方案
  • 遥感目标检测数据集 HRSC2016 实战:基于 YOLOv8-OBB 的 1070 张舰船旋转框检测
  • D3KeyHelper完全指南:5分钟上手暗黑3自动化宏工具
  • 基于AI的本地化影视内容分析流水线:从语音转写到剧情摘要
  • Excel VLOOKUP实战生存指南:从报错到自动匹配
  • YOLOv5v6.1 菜品识别数据集实战:UNIMIB2016 73类标注转换与EXIF修正
  • 为什么Save Image as Type是你在Chrome浏览器上的必备图片格式转换神器?
  • QQ音乐解析终极指南:如何免费获取高品质音乐资源与完整API方案
  • Spring Boot项目集成JaCoCo实现单元测试覆盖率统计与Jenkins自动化实践
  • CS2200-CP与PIC18F25K80实现高精度工业计时方案
  • MDX-M3-Viewer 终极指南:三步快速上手魔兽争霸3与星际争霸2的WebGL模型查看器
  • msconfig 处理器个数设置详解:从1核到N核的3种应用场景与风险
  • Playwright数据采集实战:从自动化测试到高效爬虫的进阶指南
  • springboot~关于构造方法注入和字段注入的选择
  • Plone开发四条铁律:ZODB、Generic Setup、Volto Block与安全默认
  • Python爬虫实战:绕过Cloudflare反爬的阶梯式解决方案
  • 【Java毕业设计】基于 SpringBoot 的物流网点运维管理系统的设计与实现 基于前后端分离的校园快递服务管理系统(源码+文档+远程调试,全bao定制等)
  • 高斯数据库(openGauss)的模式
  • Kindle Comic Converter:3步将漫画完美适配Kindle阅读体验
  • 汽车转向系统原理解析:方向盘540°转角与前轮45°极限的1:12转向比
  • 从韦氏词典争议看 NLP 数据标注:3 个现代词典编纂原则对 AI 训练的启示
  • VUE应用破解微信公众号图片防盗链:从原理到实战解决方案