Fiddler教程——爆肝整理
Posted 软件测试自动化测试
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Fiddler教程——爆肝整理相关的知识,希望对你有一定的参考价值。
目录
HTTP协议基础
大多时候,我们使用抓包工具抓取和分析的为HTTP协议,所以,必须要了解HTTP协议。否则抓包工具无从学起。
HTTP协议
超文本传输协议(HTTP,HyperText Transfer Protocol)是互联网上应用最为广泛的一种网络协议。
特点:
HTTP协议的主要特点可概括如下:
1、支持客户/服务器模式。 简单快速:客户向服务器请求服务时,只需传送请求方法和路径。请求方法常用的有GET、POST。每种方法规定了客户与服务器联系的类型不同。由于HTTP协议简单,使得HTTP服务器的程序规模小,因而通信速度很快。
2.灵活: HTTP允许传输任意类型的数据对象。正在传输的类型由Content-Type加以标记。
3.无连接: 无连接的含义是限制每次连接只处理一个请求。服务器处理完客户的请求,并收到客户的应答后,即断开连接。采用这种方式可以节省传输时间。
4.无状态: HTTP协议是无状态协议。无状态是指协议对于事务处理没有记忆能力。缺少状态意味着如果后续处理需要前面的信息,则它必须重传,这样可能导致每次连接传送的数据量增大。另一方面,在服务器不需要先前信息时它的应答就较快。
请求类型:
HTTP请求类型:
请求行以一个方法符号开头,以空格分开,后面跟着请求的URI和协议的版本,格式如下:Method Request-URI HTTP-Version CRLF, 其中 Method表示请求方法;Request-URI是一个统一资源标识符;HTTP-Version表示请求的HTTP协议版本;CRLF表示回车和换行(除了作为结尾的CRLF外,不允许出现单独的CR或LF字符)。
请求方法(所有方法全为大写)有多种,各个方法的解释如下:
请求方法 | 说明 |
---|---|
GET | 请求获取Request-URI所标识的资源 |
POST | 在Request-URI所标识的资源后附加新的数据 |
HEAD | 请求获取由Request-URI所标识的资源的响应消息报头 |
PUT | 请求服务器存储一个资源,并用Request-URI作为其标识 |
DELETE | 请求服务器删除Request-URI所标识的资源 |
TRACE | 请求服务器回送收到的请求信息,主要用于测试或诊断 |
CONNECT | 保留将来使用 |
OPTIONS | 请求查询服务器的性能,或者查询与资源相关的选项和需求 |
响应状态码:
状态代码有三位数字组成,第一个数字定义了响应的类别,且有五种可能取值:
- 1xx:指示信息--表示请求已接收,继续处理
- 2xx:成功--表示请求已被成功接收、理解、接受
- 3xx:重定向--要完成请求必须进行更进一步的操作
- 4xx:客户端错误--请求有语法错误或请求无法实现
- 5xx:服务器端错误--服务器未能实现合法的请求
常见状态代码、状态说明: 200 OK //客户端请求成功 400 Bad Request //客户端请求有语法错误,不能被服务器所理解 401 Unauthorized //请求未经授权,这个状态代码必须和WWW-Authenticate报头域一起使用 403 Forbidden //服务器收到请求,但是拒绝提供服务 404 Not Found //请求资源不存在,eg:输入了错误的URL 500 Internal Server Error //服务器发生不可预期的错误 503 Server Unavailable //服务器当前不能处理客户端的请求,一段时间后可能恢复正常
请求头信息与响应头信息:
- 请求头信息
请求报头允许客户端向服务器端传递请求的附加信息以及客户端自身的信息。
常用的请求报头:
- Accept:请求报头域用于指定客户端接受哪些类型的信息。eg:Accept:image/gif,表明客户端希望接受GIF图象格式的资源;Accept:text/html,表明客户端希望接受html文本。
- Accept-Encoding:请求报头域类似于Accept,但是它是用于指定可接受的内容编码。
- Accept-Language:请求报头域类似于Accept,但是它是用于指定一种自然语言。
- Connection:允许发送指定连接的选项。例如指定连接是连续,或者指定“close”选项,通知服务器,在响应完成后,关闭连接。从HTTP/1.1起,默认都开启了Keep-Alive,保持连接特性。
- Host(发送请求时,该报头域是必需的),Host请求报头域主要用于指定被请求资源的Internet主机和端口号,它通常从HTTP URL中提取出来的。
-
User-Agent:请求报头域允许客户端将它的操作系统、浏览器和其它属性告诉服务器。不过,这个报头域不是必需的,如果我们自己编写一个浏览器,不使用User-Agent请求报头域,那么服务器端就无法得知我们的信息了。
-
响应头信息
响应报头允许服务器传递不能放在状态行中的附加响应信息,以及关于服务器的信息和对Request-URI所标识的资源进行下一步访问的信息。
常用的响应报头:
- Location:响应报头域用于重定向接受者到一个新的位置。Location响应报头域常用在更换域名的时候。
- Server:响应报头域包含了服务器用来处理请求的软件信息。与User-Agent请求报头域是相对应的。
- WWW-Authenticate:响应报头域必须被包含在401(未授权的)响应消息中,客户端收到401响应消息时候,并发送Authorization报头域请求服务器对其进行验证时,服务端响应报头就包含该报头域。
- X-Frame-Options: 有三个值:DENY 表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。SAMEORIGIN表示该页面可以在相同域名页面的 frame 中展示。ALLOW-FROM uri 表示该页面可以在指定来源的frame中展示。
Fiddler(一)介绍与安装
Fildder是一款免费的web调试代理工具,支持任何浏览器、系统或平台。
官方网站:https://www.telerik.com/fiddler
工作原理
Fiddler是以代理Web服务器的形式工作的,浏览器与服务器之间通过建立TCP连接以HTTP协议进行通信,浏览器默认通过自己发送HTTP请求到服务器,它使用代理地址:127.0.0.1
, 端口:8888
。
开启Fiddler后,通过浏览器访问:http://127.0.0.1:8888
安装
点击这里下载Fiddler。不过,更简单的方式是直接在百度中搜索,通过百度软件中心下载。
安装过程这里省略。启动Fiddler,主界面如下:
Fiddler(二)主界面介绍
在开始Fiddler工具之前,请先学习 HTTP基础
Fiddler主界面
Fiddler 工具界面如上图。
请求列表(左侧窗口)
显示Fiddler 工具拦截的 HTTP/HTTPS 请求。
#
显示资源类型与编号。
-
Result
表示HTTP返回的状态码。如 200、302、500等。 -
Protocol
表示请求的协议:HTTP/HTTPS -
Host
请求的IP或网址。 -
URL
请求的路径。 -
Body
请求资源的大小。 -
Caching
请求的缓存过期时间或者缓存控制值。 -
Content-Type
请求响应的类型。 -
Process
发送此请求的进程:进程ID。 -
Comments
允许用户为此回话添加备注。 -
Custom
允许用户设置自定义值。
Statistics(右则窗Statistics标签)
Statistics 显示关于HTTP请求的性能以及数据分析。
Fiddler(三)代理 HTTP 请求
上一小节对Fiddler的界面了简单的认识。接下来介绍如何通过Fiddler拦截HTTP请求。
代理 HTTP 请求
启动 Fiddler:
1、 启动代理 :点击窗口左下角,显示 “Capuring” 侧说明当前处于代理状态。
2、通过浏览器访问相关网页或执行页面操作(如,登录、搜索)。
3、通过Fiddler查看代理的HTTP请求进行分析。
清除请求
当Fiddler拦截的请求比较多时,不方便查看,我们可以清除已经代理的请求,重新代理。如上图,Fiddler提供了几种清理选项。
-
Remove all : 清空整个请求列表
-
Images : 清除图片请求
-
COMMECTs : 清除HTTP的CONNECT请求
-
Non-200s : 清除HTTP状态不是 200 的请求
-
……
Inspectors (右则窗Inspectors标签)
Inspectors 是用于查看会话的内容,上半部分是请求的内容,下半部分是响应的内容。
对于每一部分,提供了多种不同格式查看每个请求和响应的内容。
-
Header
标签用于显示HTTP请求和响应的头信息。 -
TextView
标签用于查看 HTML/JS/CSS 等格式的数据。 -
ImageView
标签用于显示图片格式的数据。 -
WebForms
标签用于显示请求的表单数据。如登录请求,就可以通过它查查看登录用户名密码信息。它以表格形式显示。 -
Raw
标签可以查看原始的符合HTTP标准的请求和响应头。 -
Auth
标签可以查看授权Proxy-Authorization 和 Authorization的相关信息。 -
Cookies
标签可以看到请求的cookie和响应的set-cookie头信息。 -
XML
和JSON
标签用于显示 XML和JSON格式的数据。 -
其它标签,暂时先介绍这么多吧!
Fiddler(四)设置代理 HTTPS 请求
HTTPS 介绍
HTTPS(全称:Hyper Text Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单讲是HTTP的安全版。
HTTPS在HTTP的基础上加入了SSL协议,SSL依靠证书来验证服务器的身份,并为浏览器和服务器之间的通信加密。
HTTPS和HTTP的区别主要为以下四点:
一、https协议需要到ca申请证书,一般免费证书很少,需要交费。
二、http是超文本传输协议,信息是明文传输,https 则是具有安全性的ssl加密传输协议。
三、http和https使用的是完全不同的连接方式,用的端口也不一样,前者是80,后者是443。
四、http的连接很简单,是无状态的;HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,比http协议安全。
Fiddler设置HTTPS代理
1、打开Fiddler,菜单栏:Tools –> Fiddler Options 打开fiddler配置。
2、打开 HTTPS 配置项,勾选“Capture HTTPS CONNECTs”和“Decrypt HTTPS traffic”,然后点击“OK”。
重启Fiddler,就可以实现HTTPS请求的代理了。
Fiddler(五)设置显式IP地址
在测试过程中,我们经常需要通过host在不同的环境之间切换,如果知道自己的环境是否切换成功,那么通过IP地址就很容易判断。
Fiddler设置显示IP地址
打开Fiddler, 菜单栏:Rules->Customize Rules… 或快捷键 Ctrl+R 。
通过快捷键 Ctrl+F ,搜索:static function Main() 函数。 在函数中添加一行代码,如下:
// The Main() function runs everytime your FiddlerScript compiles
static function Main() {
var today: Date = new Date();
FiddlerObject.StatusText = " CustomRules.js was loaded at: " + today;
// 显示IP 地址
FiddlerObject.UI.lvSessions.AddBoundColumn("ServerIP", 120, "X-HostIP");
// Uncomment to add a "Server" column containing the response "Server" header, if present
// UI.lvSessions.AddBoundColumn("Server", 50, "@response.server");
// Uncomment to add a global hotkey (Win+G) that invokes the ExecAction method below...
// UI.RegisterCustomHotkey(HotkeyModifiers.Windows, Keys.G, "screenshot");
}
然后,点击菜单栏:File --> Save 或快捷键 Ctrl+S,关闭窗口。
再次查看Fiddler请求,将多出 “ServerIP” 一列显示IP请求的IP地址。
总结
最后总结一下学习最重要的知识圈
如果你对此文有任何疑问,如果你对软件测试、接口测试、自动化测试、面试经验交流感兴趣点击加入Python自动化测试技术群(备注“csdn111”)群里的免费资料都是笔者十多年测试生涯的精华。还有同行大神一起交流技术哦。
以上是关于Fiddler教程——爆肝整理的主要内容,如果未能解决你的问题,请参考以下文章
《爆肝整理》保姆级系列教程-玩转Charles抓包神器教程(10)-Charles如何修改请求参数和响应数据-下篇
《爆肝整理》保姆级系列教程-玩转Charles抓包神器教程(15)-Charles如何配置反向代理
《爆肝整理》保姆级系列教程-玩转Charles抓包神器教程(13)-Charles如何进行Mock和接口测试