Jak wyłączyć sprawdzanie certyfikatu bezpieczeństwa w żądaniach Pythona

230

ja używam

import requests
requests.post(url='https://foo.com', data={'bar':'baz'})

ale dostaję request.exceptions.SSLError. Strona ma wygasły certyfikat, ale nie wysyłam wrażliwych danych, więc nie ma to dla mnie znaczenia. Wyobrażam sobie, że istnieje argument taki jak „verifiy = False”, którego mógłbym użyć, ale nie mogę go znaleźć.

Paul Draper
źródło

Odpowiedzi:

411

Z dokumentacji :

requestsmoże również zignorować weryfikację certyfikatu SSL, jeśli ustawisz wartość verifyFalse.

>>> requests.get('https://kennethreitz.com', verify=False)
<Response [200]>

Jeśli używasz modułu innej firmy i chcesz wyłączyć kontrole, oto menedżer kontekstu, który małpuje łatki requestsi zmienia je tak, aby verify=Falsebyły domyślne i pomija ostrzeżenie.

import warnings
import contextlib

import requests
from urllib3.exceptions import InsecureRequestWarning


old_merge_environment_settings = requests.Session.merge_environment_settings

@contextlib.contextmanager
def no_ssl_verification():
    opened_adapters = set()

    def merge_environment_settings(self, url, proxies, stream, verify, cert):
        # Verification happens only once per connection so we need to close
        # all the opened adapters once we're done. Otherwise, the effects of
        # verify=False persist beyond the end of this context manager.
        opened_adapters.add(self.get_adapter(url))

        settings = old_merge_environment_settings(self, url, proxies, stream, verify, cert)
        settings['verify'] = False

        return settings

    requests.Session.merge_environment_settings = merge_environment_settings

    try:
        with warnings.catch_warnings():
            warnings.simplefilter('ignore', InsecureRequestWarning)
            yield
    finally:
        requests.Session.merge_environment_settings = old_merge_environment_settings

        for adapter in opened_adapters:
            try:
                adapter.close()
            except:
                pass

Oto jak go używasz:

with no_ssl_verification():
    requests.get('https://wrong.host.badssl.com/')
    print('It works')

    requests.get('https://wrong.host.badssl.com/', verify=True)
    print('Even if you try to force it to')

requests.get('https://wrong.host.badssl.com/', verify=False)
print('It resets back')

session = requests.Session()
session.verify = True

with no_ssl_verification():
    session.get('https://wrong.host.badssl.com/', verify=True)
    print('Works even here')

try:
    requests.get('https://wrong.host.badssl.com/')
except requests.exceptions.SSLError:
    print('It breaks')

try:
    session.get('https://wrong.host.badssl.com/')
except requests.exceptions.SSLError:
    print('It breaks here again')

Zauważ, że ten kod zamyka wszystkie otwarte adaptery, które obsługiwały załatane żądanie po opuszczeniu menedżera kontekstu. Wynika to z faktu, że żądania utrzymują pulę połączeń na sesję, a sprawdzanie poprawności certyfikatu odbywa się tylko raz na połączenie, więc mogą wystąpić nieoczekiwane rzeczy:

>>> import requests
>>> session = requests.Session()
>>> session.get('https://wrong.host.badssl.com/', verify=False)
/usr/local/lib/python3.7/site-packages/urllib3/connectionpool.py:857: InsecureRequestWarning: Unverified HTTPS request is being made. Adding certificate verification is strongly advised. See: https://urllib3.readthedocs.io/en/latest/advanced-usage.html#ssl-warnings
  InsecureRequestWarning)
<Response [200]>
>>> session.get('https://wrong.host.badssl.com/', verify=True)
/usr/local/lib/python3.7/site-packages/urllib3/connectionpool.py:857: InsecureRequestWarning: Unverified HTTPS request is being made. Adding certificate verification is strongly advised. See: https://urllib3.readthedocs.io/en/latest/advanced-usage.html#ssl-warnings
  InsecureRequestWarning)
<Response [200]>
Mikser
źródło
6
Dzięki, działa to, jeśli masz kilka wywołań żądań w swoim własnym kodzie, ale wyobraź sobie, że chcę to wyłączyć w trzeciej bibliotece częściowo korzystającej z żądań ... niemożliwe byłoby naprawienie takiej biblioteki innej firmy.
sorin
7
@sorin: Po prostu łatka małpa requestsi verifydomyślnie False.
Blender
2
Jak ukryć duży nieprzyjemny komunikat ostrzegawczy, który wciąż jest drukowany?
Michael
27
@Michael, aby odpowiedzieć na moje własne pytanie:requests.packages.urllib3.disable_warnings()
Michael
8
@Michael: lub, aby uniknąć ukrywania wszystkich ostrzeżeń: from urllib3.exceptions import InsecureRequestWarningwtedyrequests.packages.urllib3.disable_warnings(category=InsecureRequestWarning)
Sébastien Deprez
96

Użyj requests.packages.urllib3.disable_warnings()i verify=Falsena requestsmetody.

import requests
from urllib3.exceptions import InsecureRequestWarning

# Suppress only the single warning from urllib3 needed.
requests.packages.urllib3.disable_warnings(category=InsecureRequestWarning)

# Set `verify=False` on `requests.post`.
requests.post(url='https://example.com', data={'bar':'baz'}, verify=False)
efrenfuentes
źródło
11
Twoja odpowiedź jest przydatna, gdy chcesz pozbyć się Ostrzeżeń, np. „Tworzone jest niezweryfikowane żądanie HTTPS”. Ale i tak verify=Falsemusi być obecny. Tnx.
Lufa
17
I aby nie ukrywać wszystkich ostrzeżeń: from urllib3.exceptions import InsecureRequestWarningwtedyrequests.packages.urllib3.disable_warnings(category=InsecureRequestWarning)
Sébastien Deprez
Dla tych, którzy nie mogą wyłączyć ostrzeżeń, możesz spróbować requests.packages.urllib3.disable_warnings(requests.packages.urllib3.exceptions.InsecureRequestWarning). Działa to, ponieważ zapewnia, że urllib3.exceptions.InsecureRequestWarningjest to dokładnie ten używany przez requests.
AnnieFromTaiwan
32

Aby dodać do odpowiedzi Blendera , możesz wyłączyć SSL dla wszystkich żądańSession.verify = False

import requests

session = requests.Session()
session.verify = False
session.post(url='https://foo.com', data={'bar':'baz'})

Zauważ, że urllib3(którego używa Requests) zdecydowanie odradza wykonywanie niezweryfikowanych żądań HTTPS i podniesie InsecureRequestWarning.

Stevoisiak
źródło
11

Można to również zrobić ze zmiennej środowiskowej:

export CURL_CA_BUNDLE=""
Stan Gabenov
źródło
1
To daje mi: „OSError: Nie można znaleźć odpowiedniego pakietu certyfikatu TLS CA, niepoprawna ścieżka:” ”. Używam żądania 2.22.0
chaim
lubexport REQUESTS_CA_BUNDLE='your-ca.pem'
weaming
1
To wydaje się być najlepszą odpowiedzią na wypadek, gdybyś musiał użyć biblioteki, której nie możesz edytować
user989762
Oparty na CURL_CA_BUNDLE , os.environ['REQUESTS_CA_BUNDLE'] = 'FiddlerRootCertificate_Base64_Encoded_X.509.cer.pem' # your-ca.pemdziała dla Pythona 3.8.3 podczas korzystania z Google-Cloud-Bigquery 1.24.0 i BigQuery Client Lib dla Pythona
samm
8

Jeśli chcesz wysłać dokładnie post post z opcją Verify = False, najszybszym sposobem jest użycie tego kodu:

import requests

requests.api.request('post', url, data={'bar':'baz'}, json=None, verify=False)
Ruslan Khyurri
źródło
Bandyta nie będzie szczęśliwy, gdy wyłączysz Verify = False. Zobacz: docs.openstack.org/bandit/latest/plugins/…
kRazzy R
Cześć, mam prośbę, która daje mi odpowiedź na żądanie pocztowe w Listonoszu poprzez wyłączenie opcji „Weryfikacja certyfikatu SSL” w opcji ustawień. Ale jeśli otrzymam kod żądania Pythona dostarczony przez Listonosza, otrzymam błąd „Procedury SSL”, „tls_process_server_certificate”, „certyfikat nie powiódł się”, a dodanie słowa „weryfikacja = fałsz” nie pomoże w tym przypadku, istnieje jakieś rozwiązanie, aby uzyskać odpowiedź Listonosza w skrypcie żądania Pythona?
Taha Hamedani