Fiddler介紹（PC端+Android，IOS端)

Fiddler基本介紹：

fiddler是一個很強大的抓包工具，原理是以一個代理服務器的形式進行工做的，默認的代理地址：127.0.0.1  端口8888，也能夠自行設置。

什麼是代理：

  就是客戶端和服務器端之間設置了一道關卡，客戶端發送請求數據，代理服務器會將數據包進行攔截，代理服務器在冒充客戶端發送數據到服務器，同理，服務器返回的數據，到代理服務器會進行攔截，冒充服務器發送數據到客戶端。

 

fiddler能夠抓取支持http代理的任意程序的數據包，若是要抓取HTTPS,則須要先安裝證書。

HTTP協議：

HTTP：超文本傳輸協議，是一個基於請求與響應模式的，無狀態的，應用層的協議，多數web開發都是創建於http協議下的。

HTTP工做過程：當咱們請求一個超連接時，HTTP開始工做，客戶端先發送一個請求到服務器，請求內容包含：協議版本號、請求地址、請求方式、請求頭、請求參數，服務器收到請求後會作相應的處理，並將響應數據返回到客戶端，響應內容包含：協議版本號、狀態碼、響應數據。這些過程都是http協議自動完成的，咱們只須要輸入連接，點擊發送。詳細信息參考：http://www.cnblogs.com/li0803/archive/2008/11/03/1324746.html

請求方式常有：GET/POST/PUT/DELETE

HTTP狀態碼主要分爲5類：以1開頭的表明請求已被接受，須要繼續處理；

　　　　　　　　　　　　以2開頭的表明請求已成功被服務器接收、理解、並接受；

　　　　　　　　　　　　以3開頭的表明須要客戶端採起進一步的操做才能完成請求；

　　　　　　　　　　　　以4開頭的表明了客戶端看起來可能發生了錯誤，妨礙了服務器的處理；

　　　　　　　　　　　　以5開頭的表明了服務器在處理請求的過程當中有錯誤或者異常狀態發生，也有多是服務器意識到以當前的軟硬件資源沒法完成對 　　　　　　　　　　　　　　請求的處理。

常見的狀態碼主要：    200：服務器成功處理了請求；404：未找到資源；500：內部服務器錯誤；503：服務器目前沒法爲請求提供服務；

　　　　　　　　　　302：請求的URL已臨時轉移；304：客戶端的緩存資源是最新的，要客戶端使用緩存

每一個狀態碼的詳細信息：https://baike.baidu.com/item/HTTP%E7%8A%B6%E6%80%81%E7%A0%81/5053660?fr=aladdin

常見的報錯碼是什麼緣由形成的：

400（bad request/錯誤請求）：檢查腳本中的請求參數語法格式是否正確

401(unauthorized/未受權)：檢查腳本中的請求是否缺乏必要的header信息

403(forbidden/禁止)：檢查腳本中的用戶信息，是否擁有權限去操做業務

404(not found/未找到)：檢查請求url地址，或者url中拼接的參數是否正確；檢查web服務器是否啓動，如查看Tomcat日誌

405(method not allowed/方法未容許): 檢查http請求方式是否正確，好比get請求寫成了post方式；檢查請求參數是否正確 

500（internal server error/內部服務器錯誤）：服務器程序內部報錯，首先登陸服務器查看運行日誌，根據報錯緣由排查問題，可能有兩方面的緣由

                          1. 代碼邏輯錯誤，形成報錯；  2.請求參數異常，形成服務器端沒法處理

502/503/504：bad  gateway/錯誤的網關，server unavailable/服務沒法得到，gateway timeout/網關超時

　　　　若是單次調用接口就報該錯誤，說明是後端服務器配置有問題，或者服務不可用；

　　　　若是併發壓測時出現此錯誤，說明是後端壓力太大，出現異常，此問題通常是後端出現了響應時間過長或者無響應形成。

 

fiddler工具的使用：

Fiddler是一個很好用的抓包工具，能夠將網絡傳輸發送與接收的數據包進行截獲、重發、編輯等操做。也能夠用來檢測流量。

Fiddler安裝後，設置的端口默認爲8888，當Fiddler啓動後，默認將IE的代理設爲了127.0.0.1:8888，而其餘如谷歌瀏覽器須要手動設置代理後才能夠抓包。設置內容如圖：

點擊右上角三個豎點點，點擊設置，搜索框輸入：代碼，打開「打開代理設置」

 

點擊「局域網設置」

1）要使用Fiddler進行抓包，首先須要確保Capture Traffic是開啓的（安裝後是默認開啓的），勾選File->Capture Traffic，也能夠直接點擊Fiddler界面左下角的圖標開啓和關閉抓包。

 2）分析數據包列表

#：順序號，按照抓包的順序從1遞增

Result：HTTP狀態碼　　　　　　

Protocol：請求使用的協議，如HTTP/HTTPS/FTP等

HOST：請求地址的主機名或域名

URL：請求資源的位置

Body：請求大小

Caching：請求的緩存過時時間或者緩存控制值

Content-Type：請求響應的類型

Process：發送此請求的進程ID

Comments：備註 

Custom：自定義值

3）每一個Fiddler抓取到的數據包都會在該列表中展現，點擊具體的一條數據包能夠在右側菜單點擊Insepector查看詳細內容。主要分爲請求（即客戶端發出的數據）和響應（服務器返回的數據）兩部分。

4）百度爲例

請求方式：GET

協議： HTTP/1.1

Client 頭域：

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3        ---------瀏覽器端能夠接受的媒體類型

Accept-Encoding: gzip, deflate, br                                                                  ---------壓縮方法

Accept-Language: zh-CN,zh;q=0.9                                                                    ---------語言類型

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/74.0.3729.169 Safari/537.36                   

    ---------客戶端使用的操做系統和瀏覽器的名稱和版本

COOKIE頭域：將cookie值發送給服務器

Transport 頭域：

Connection：當網頁打開完成後，客戶端和服務器之間用於傳輸HTTP數據的TCP鏈接是否關閉。keep-alive表示不會關閉，客戶端再次訪問這個服務器上的網頁，會繼續使用這一條已經創建的鏈接；close表示關閉，客戶端再次訪問這個服務器上的網頁，須要從新創建鏈接。

HOST：主機名或域名，若沒有指定端口，表示使用默認端口80.

5）HTTP Response Header：繼續以百度爲例

協議：HTTP/1.1

狀態碼：200

Cache頭域：
Cache-Control: private                                               ---------此響應消息不能被共享緩存處理，對於其餘用戶的請求無效

Date: Thu, 30 May 2019 07:10:09 GMT                      ---------生成消息的具體時間和日期

Expires: Thu, 30 May 2019 07:09:10 GMT                  ---------瀏覽器會在指定過時時間內使用本地緩存

Cookie/Login 頭域：

Set-Cookie: BD_HOME=0; path=/                           ---------把cookie發送到客戶端
Set-Cookie: BDSVRTM=0; path=/

Set-Cookie: delPer=0; path=/; domain=.baidu.com

Set-Cookie: H_PS_PSSID=1422_28939_21090_18559_29063_28518_29098_28830_28584_26350; path=/; domain=.baidu.com

Entity頭域

Content-Encoding: gzip                                              ---------正文長度
Content-Type: text/html                         ---------告知客戶端服務器自己響應的對象的類型和字符集

Miscellaneous 頭域：
Bdpagetype: 2

Bdqid: 0x99791efd00036253

Bduserid: 2577220064
Server: BWS/1.1                                                          ---------指明HTTP服務器的軟件信息

X-Ua-Compatible: IE=Edge,chrome=1
Security頭域：
Strict-Transport-Security: max-age=172800                ---------基於安全考慮而須要發送的參數，關於這個參數的解釋，請參考：http://www.freebuf.com/articles/web/66827.html

Transport頭域：

Connection: Keep-Alive

6）TextView：顯示請求或響應的數據。

7）WebForms：請求部分以表單形式顯示全部的請求參數和參數值；響應部分與TextView內容是同樣的。

8）Auth：顯示認證信息，如Authorization

9）Cookies：顯示全部cookies

10）Raw：顯示Headers和Body數據

11）JSON：若請求或響應數據是json格式，以json形式顯示請求或響應內容

12）XML：若請求或響應數據是xml格式，以xml形式顯示請求或響應內容

13）上面是以百度主頁爲例，百度主頁採用的是GET請求，在TextView中沒有請求body，咱們再以無憂行網站登陸接口爲例，它是一個POST請求，除了請求頭外，在TextView中多了請求數據。這也是GET請求和POST請求的一個區別。GET請求是將請求參數放在url中，而POST請求通常是將請求參數放在請求body中

 總結：

經過Fiddler能夠抓取請求和響應參數，經過對參數進行分析，能夠定位是前端仍是後臺問題。例如咱們在測試登陸接口時，輸入了正確的手機號和密碼，但前端提示「請輸入正確的用戶名和密碼」；僅僅經過界面提示咱們只能描述bug表象，但不能分析出問題緣由。假設經過抓包咱們發現是因爲前端參數名錯誤或參數值爲空，從而致使後臺報錯。這個時候咱們將bug指向前端開發人員，並將參數數據和接口文檔中對應的報文數據做爲附件上傳，是否是能夠提升bug的解決效率呢？Fiddler在實際的功能測試中有很大的做用，一方面幫助咱們更好的瞭解某個業務中客戶端和服務器端是經過哪些接口進行請求的，從而更好的瞭解代碼邏輯；另外一方面，咱們還能夠經過響應數據判斷哪裏出現了問題，例如可能服務器程序掛了，致使前端報「服務器故障」，這時咱們經過抓包發現響應數據返回502，這時咱們能夠手動去重啓服務或是聯繫運維重啓服務，從而提升問題的解決效率。

 HTTPS抓包：

1）打開Fiddler-【Tools】-【Fiddler Option】，切換到HTTPS選項卡，勾選【Capture HTTPS CONNECTs】和【Decrypt HTTPS traffic】，而後點擊【Actions】-【Trust Root Certificate】，而後按照提示一路yes，直到彈框提示「Trust Cert success」點擊肯定後，重啓Fiddler就能夠抓取HTTPS協議的數據包了。

 

須要給相應瀏覽器導入證書：

1.能夠先win+r，輸入certmgr.msc，點擊操做，輸入fiddler，將相應的證書所有刪掉
下載安裝fiddler後
fiddler自己： tools-options-HTTPS 勾選前三個選項
點擊tools-option-HTTPS-ACTIONS：第一項trust root certificate出現安全證書下載提示，按照步驟一直「是」
在點擊tools-option-HTTPS-ACTIONS:第二項，導出
在須要的瀏覽器，找到證書，導入就能夠啦
重啓瀏覽器和fiddler，先打開fiddler，在打開瀏覽器

2.若是在設置過程當中報錯：「沒法將Windows配置爲信任的fiddler根證書」
能夠在fiddler安裝目錄中：進入cmd，輸入：
D:\fiddler\Fiddler Web Debugger>
makecert.exe -r -ss my -n "CN=DO_NOT_TRUST_FiddlerRoot,O=DO_NOT_TRUST, OU=Created by http://www.fiddler2.com"-sky signature -eku 1.3.6.1.5.5.7.3.1 -h 1 -cy authority -a sha1 -m 120 -b 10/12/2050
最後的日期要大於安裝軟件的日期： 若是報錯，檢查是否是輸入內容存在換行，
以後再從新設置就OK

3.設置谷歌的代理：谷歌瀏覽器-設置-搜索「代理」-打開「代理」-鏈接-局域網-設置成三對127.0.0.1  8888

Fiddler過濾會話

Fiddler是一款強大的抓包工具，咱們能夠經過設置來過濾只篩選出咱們想要的數據包。

1）在右側菜單中，找到Fittlers選項，共有9個部分進行設置

輸入過濾內容後，點擊actions選擇當即執行，則能夠選擇出來本身須要的內容

2）Use Filters：勾選則表示使用過濾，不勾選則表示不進行過濾

3）Actions：有四個選項，Run Filterset now：當即運行過濾設置；Load Filterset：加載保存的過濾設置；Save Filterset：保存過濾設置；help：幫助

4）Hosts：該設置項有兩個選項

• 第一個下拉框是隻顯示內網或者外網選項
• 第二個下拉框是根據主機名信息顯示或者隱藏或者標記指定請求

   若是要顯示或者隱藏多個，則須要用分號隔開

5）Client Process：有三個選項，Show only traffic from：根據進程信息進行過濾，選擇後，將只顯示由該進程發出的請求；Show only Internet Explorer traffic：只關心由IE瀏覽器發出的請求；Hide traffic from Service Host：隱藏來自service host（即由svchost.exe進程發出）的請求

6）Request Headers：有五個選項，Show only if URL contains：能夠經過正則表達式過濾請求地址中包含或不包含的內容，例如REGEX:\.(js|css|js\?.*|css\?.*)$（隱藏全部js和css請求）；Hide if URL contains：與Show only if URL contains相反，一個是顯示，一個是隱藏；Flags requests with headers：支持指定某個http請求頭名稱，若是在web session列表中存在該請求頭，會加粗顯示該session；Delete requests headers：與Flags requests with headers相似，這裏是若是包含該請求頭，則刪除該請求頭；Set request header：將HTTP請求頭更新爲所輸入的值。

7）Breakpoints：斷點設置，有四個選項。Break request on POST：對POST請求設置斷點；Break request on GET with query string：會爲全部方法爲GET且URL中包含了給定查詢條件的請求設置斷點；Break on XMLHttpRequest：對全部可以肯定是經過XMLHTTPRequest對象發送的請求設置斷點；Break response on Content-Type：會爲全部響應頭Content-Type中包含了指定文本的響應設置響應斷點。

8）Response Status Code：根據響應狀態碼設置斷點。

9）Response Type and Size：有幾種類型，一類是根據響應數據的類型顯示或隱藏；一類是根據響應數據的大小顯示或隱藏；一類是根據響應所須要的時間設置背景顏色；一類是根據文件類型進行限制。

• type有如下幾種類型：
• Time HeatMap複選框會基於服務器返回給定響應所須要的時間爲每一個session設置背景顏色。

10）Response Headers：與Request Headers不一樣的是，這塊區域是針對響應數據的頭部進行過濾。

這麼多設置項，比較經常使用的就是1.2.3部分。經過過濾設置，能夠快速的幫助咱們找到咱們須要抓包分析的數據包，從而提升效率，避免過多的數據包信息干擾咱們找到正確的數據包。

Andriod配置方法：

1. 確保手機和Fiddler主機在同一個局域網中，鏈接同一個WiFi

2. 獲取fiddler所在主機的IP，cmd中輸入ipconfig -all ，記下：IPv4地址

 

3. 對手機所鏈接的無線網絡進行設置，點擊WLAN，長按與Fiddler所在主機在同一個局域網的wifi，長按點擊【修改網絡】，選中【顯示高級選項】，代理設置爲手動，輸入代理服務器的主機名和端口後保存。代理服務器的主機名即2）中的IPv4地址，端口爲Fiddler上配置的端口（默認爲8888），能夠到Fiddler菜單欄中【Tool】-【Fiddler Option】的【Connections】中查看。

4）在手機瀏覽器上輸入：http://IPv4地址:端口（例如：http://192.168.18.32:8888），點擊【FiddlerRoot certificate】下載安裝Fiddler證書。

5）若在瀏覽器上沒法打開該地址，須要作兩項檢查：1、確保在瀏覽器、wifi中配置的代理與Fiddler所在主機地址和Fiddler中配置的端口，三者保持一致；2、確保在Fiddler-【Tools】-【Fiddler Option]-[Connection]中【Allow remote computers to connect】已經勾選上，若沒有勾選，則須要勾選後保存並重啓Fiddler。

6）這時咱們打開手機上的瀏覽器或APP，能夠在Fiddler上看到手機上的數據包了。

 

IOS的配置：

基本與andriod的配置方法一致，除了安裝證書方式與andriod略有不一樣，另外ios在下載證書後，須要手動信任證書。設置方法：打開【設置】-【通用】-【關於本機】-【證書信任證書】，找到對應的證書，啓用便可。

 

設置斷點，篡改數據：

咱們知道Fiddler是位於客戶端和服務器之間的代理，它可以記錄客戶端和服務器之間的全部 HTTP請求，能夠針對特定的HTTP請求，分析請求數據、設置斷點、調試web應用、修改請求的數據，甚至能夠修改服務器返回的數據，功能很是強大，是web調試的利器。前面咱們介紹瞭如何使用Fiddler進行抓包和分析，以及如何抓取APP上的數據包。這裏咱們介紹下如何修改請求和響應數據，也就是設置斷點。

before response：這個是打在request請求的時候，未到達服務器以前

第一種：打開Fiddler 點擊Rules-> Automatic Breakpoint  ->Before Requests(這種方法會中斷全部的會話)

如何消除命令呢？  點擊Rules-> Automatic Breakpoint  ->Disabled

第二種:  在命令行中輸入命令:  bpu www.baidu.com   (這種方法只會中斷www.baidu.com)

如何消除命令呢？  在命令行中輸入命令 bpu

After response：也就是服務器響應以後，在Fiddler將響應傳回給客戶端以前

第一種：打開Fiddler 點擊Rules-> Automatic Breakpoint  ->After response(這種方法會中斷全部的會話)

如何消除命令呢？  點擊Rules-> Automatic Breakpoint  ->Disabled

第二種:  在命令行中輸入命令:  bpafter  www.baidu.com   (這種方法只會中斷www.baidu.com)

如何消除命令呢？  在命令行中輸入命令 bpafter

(通常在中斷以後，就要將其取消，要否則會影響到下面的操做)

 

具體操做，以淘寶登陸頁面和登陸成功之後爲例簡單的介紹一下：

1 ） before request

第一步：首先打開淘寶登陸頁面；

第二步：複製連接，在fiddler命令行中設置斷點，bpu  淘寶登陸URL，點擊回車鍵；

第三步：輸入錯誤的用戶名密碼，點擊登陸按鈕

第四步：能夠看登陸頁面瀏覽器一直在加載中，且fiddler中有斷點，單擊fiddler中的斷點，在inspectors中能夠看到body中有上送用戶名密碼的地方，

進行上送，點擊下面run to completion

第六步：能夠看到瀏覽器的頁面是剛纔輸入的用戶名

第七步： 取消斷點設置，命令行輸入bpu,回車鍵

2） after response

 第一步：設置斷點，命令行中輸入bpafter  登陸成功之後返回的URL,點擊回車

第二步： 登陸頁面輸入正確的用戶名和密碼，點擊登陸，出現響應斷點

第三步：能夠在choose response中選擇想要響應的內容，例如：401_authbasic.dat,點擊run to completion

第四步：能夠看到瀏覽器的響應

第五步 ：取消設置的斷點，bpafter，回車鍵

 

這裏也能夠設置自定義的圖片，設置方法和上面一致：

檢查響應：

 

Fiddler中建立AutoResponder規則

通常狀況使用強制刷新（Ctrl+F5）,不要使用F5刷新，強制刷新能夠將全部資源從新加載

Fiddler 的AutoResponder tab容許你從本地返回文件，而不用將http request 發送到服務器上。

屬於「重定向功能」，主要適合實時進行繪畫攔截，而後替換原始資源功能。

1. 先抓包抓取一段，而後選擇本身想要替換的連接；

2. 從左側拉倒右側AutoResponder中；

3.勾選Enable automatic reaponses 和Unmatched requests passthrough

4.在下面rule editor中點擊，選擇「find a file...」

點擊保存，save

 

 

5. 在使用剛拉過去的那個網址，在瀏覽器上刷新，則會出現自定義的內容

 

Fiddler模擬低速網絡（限速）

 1）fiddler中rules-customize rules,在文檔中找到下面內容

請求300ms,每KB

響應150ms,每KB

2）啓用

rules - performance-simulate modem speeds

 

利用Fiddler模擬mock

在作接口的時候比較方便，可以按照本身你想要的規則，去模擬請求對應的響應。

實際狀況：

假設某官網還在建設中，發送了請求沒有響應，可是又想看一下會返回什麼內容，可使用mock。

mock就能夠幫你模擬這樣的問題，好比，必須登陸才能夠查看文章，可是登陸代碼沒完成，查看文章的代碼完成了。

mock模擬的原理： 一個請求發送，到登陸的代碼，返回成功（某個字段代碼登陸成功），（拿到必須條件字段）而後查看文章，就返回成功。

例如： 訪問小強測試品牌官網http://xiaoqiangtest.sxl.cn，響應返回一個json串

1. 在本機電腦新建一個txt文件，裏面寫須要返回的json串，保存；

2. 在fiddler打開，訪問官網首頁，在autoresponder中拉進去須要的連接，在下面添加好剛纔的json串文件

 

3. 檢查結果

 

Fiddler 中利用composer自定義請求

自定義請求： 本身定義發送到哪裏，發送什麼內容

填寫後，發送：

若是響應亂碼的話，則填寫Content-Type:charset=utf-8

 POST:body裏面填寫須要的參數