requests 库中不存在 Cookie_Request 类,正确操作 Cookie 应使用 requests.Session.cookies 或 response.headers.get('Set-Cookie');加密 Cookie 无法解密,重点在于正确携带与更新。
requests.Session() 里根本没有 Cookie_Request 对象
Python 的 requests 库压根没有叫 Cookie_Request 的类或对象——这是常见误传,可能混用了 Java(CookieRequest)或某些爬虫框架的命名。真实场景中,你拿到的 Cookie 要么来自响应头,要么存在 requests.Session 的 cookies 属性里,直接可读。
常见错误现象:AttributeError: module 'requests' has no attribute 'Cookie_Request' 或构造失败报 NameError。
- 别搜
Cookie_Request,它不存在;搜requests.cookies或requests.Session.cookies才对路 - 如果用的是
httpx,对应的是httpx.Cookies,也不是Cookie_Request - 某些反爬服务返回的加密 Cookie(比如
__jsluid_s、SECURITY_KEY)不是 requests 能“解密”的——它们是服务端私钥签/加的,客户端没密钥就解不了
从 requests.Response 提取原始 Set-Cookie 头最可靠
服务器通过 Set-Cookie 响应头下发 Cookie,这是唯一标准入口。用 response.headers.get('Set-Cookie') 拿到的是原始字符串,含过期时间、作用域等元信息,比直接读 session.cookies 更透明。
使用场景:调试登录流程、验证 Cookie 是否被正确设置、排查 domain/path 不匹配问题。
立即学习“Python免费学习笔记(深入)”;
-
response.headers['Set-Cookie']返回单个字符串(多个 Cookie 会用逗号分隔,但 RFC 允许多条Set-Cookie头,所以更稳妥是遍历response.raw.headers.get_all('Set-Cookie', [])) - 不要用
response.cookies反推原始头——它已被 requests 自动解析合并,丢失了HttpOnly、Secure等标记 - 注意编码:某些老服务返回非 UTF-8 的
Set-Cookie值(比如 GBK),直接 decode 可能报错,需捕获UnicodeDecodeError
requests.Session.cookies 是 RequestsCookieJar,不是 dict
很多人想用 session.cookies['sessionid'] 直接取值,没问题;但若写 for k, v in session.cookies.items() 就会漏掉 domain/path 匹配的 Cookie——因为 RequestsCookieJar 的 items() 只返回当前 host+path 下“生效”的子集,不是全部存储。
性能影响:频繁调用 .keys() 或 .items() 会触发内部域名匹配逻辑,比直接 .get_dict() 略慢;但一般感知不到。
- 要导出所有已存 Cookie(含未生效的),用
session.cookies.get_dict(domain=None, path=None),显式传None - 要查某 Cookie 是否带
HttpOnly标志?得用session.cookies._find_cookies()(私有方法,不推荐)或从原始Set-Cookie头解析 - 手动添加 Cookie 别用
session.cookies.set()乱设 domain——填错会导致后续请求不携带,建议用requests.cookies.create_cookie(name='a', value='b', domain='.example.com')再session.cookies.set_cookie()
所谓“解密 Cookie”基本是误解,真加密的你解不开
99% 的网站 Cookie 是明文或 base64 编码(不是加密),比如 sessionid=abc123 就是纯标识符;少数如 Flask 的 session 用 itsdangerous 签名,你能验证但不能解密内容;真正 AES 加密的(如某些金融后台)没密钥根本无解。
容易踩的坑:用 base64.b64decode() 硬解一个看着像 base64 的 Cookie 值,结果抛 binascii.Error——因为那只是随机字符串,不是编码结果。
- 先看 Cookie 名:常见明文标识有
sessionid、csrftoken、auth_token;加密/签名的常带_secure、__cf_bm、__Host-前缀 - 用
itsdangerous.URLSafeTimedSerializer尝试解 Flask session 前,必须知道 SECRET_KEY —— 没这个 key,连验证签名都失败 - 别信网上“万能 Cookie 解密脚本”,它们多数只是把 base64 / hex / urldecode 挨个试一遍,对真加密毫无意义
真正需要处理的,往往不是“解密”,而是“怎么让 requests 正确携带并更新 Cookie”——这靠 Session 复用和 headers 控制就够了。其他花活,大概率在浪费时间。
