使用Charles对Android 进行HTTP抓包

Posted 2023-05-04

参考技术A  官方介绍：Charles让开发者能够直观地浏览机器客户端和互联网之间的通信数据，包括客户端发送的请求数据、服务端返回的响应数据以及HTTP头部。

 除了官方介绍，对于android开发来说，Charles还有一个非常实用的功能。Charles能将某个接口的服务端响应数据保存到本地电脑上，然后将请求映射到本地，下次再请求这个接口时，手机端收到的response就是已经保存在本地的数据。而我们可以随意修改本地数据，也就是说，可以让客户端接收到任意我们想给的数据。

配置好网络代理才能让手机端的请求被Charles捕获到。

 配置好了之后，就能在Charles看到手机端与服务器之间的数据交互了。在Request中能看到手机端发送的请求数据，在Response中能看到服务端返回给手机的数据。

也就是上面说的请求映射，使用方法：

 然后，下次手机再请求这个接口时，返回的就是本地Response里的数据了。这时候就可以愉快地修改本地Response数据，想要返回什么数据就有什么数据。

使用Charles对自己开发的 App在Android7.0以上的手机的https请求抓包——亲测有效

移动开发的时候经常要调试接口，如果不能抓包看接口数据，那就太痛苦了。charles能抓包，但自从Android7.0以后，对于https就不能抓包。网上查了好多方法，对https请求进行抓包，都不好使。不是显示unkown就是有内容但是乱码。经过多方尝试，终于弄出来了。

如下图：

下面写一下我的配置步骤：

1. 电脑上下载安装charles，Android手机配置代理，和电脑同一个wifi。

2.手机安装ssl证书:下载地址

3.自己的代码里添加https支持抓包的配置（关键步骤）

    在res创建一个xml目录，里面放一个network_security_config.xml，内容如下：

<!--Android9.0 进行https请求需要的配置。发生产包用这个配置-->
<!--<network-security-config>-->
    <!--<base-config cleartextTrafficPermitted="true" />-->
<!--</network-security-config>-->

<!--能抓https数据包的配置，测试包用这个配置-->
<network-security-config>
    <base-config cleartextTrafficPermitted="true">
        <trust-anchors>
            <certificates src="system" overridePins="true" />
            <certificates src="user" overridePins="true" />
        </trust-anchors>
    </base-config>
</network-security-config>

在Manifest.xml的application标签中配置上面写的文件：android:networkSecurityConfig="@xml/network_security_config"

4. charles进行配置：Proxy->SSL Proxying Settings ->add 你要抓包的https地址（不用带https），端口写443

正常的话经过以上4步就可以抓到自己程序的https请求了。