Fiddler 是一款由 Telerik(现为 Progress)公司开发的免费 HTTP 调试代理工具,主要用于 捕获、分析、调试和修改计算机与互联网之间的 HTTP/HTTPS 网络流量。它在 Web 开发、移动 App 测试、安全分析等领域被广泛使用。
一、Fiddler 的核心用途
1. 抓包(Capture Traffic)
- 实时监控 所有进出本机的 HTTP/HTTPS 请求与响应
- 支持浏览器、手机 App、桌面软件等任何使用 HTTP 协议的程序
2. 调试接口(Debug APIs)
- 查看请求头(Headers)、请求体(Body)、响应状态码、Cookie、Session 等
- 快速定位接口错误(如 404、500、参数缺失、返回格式异常)
3. 修改请求/响应(Breakpoints & Tampering)
- 在请求发出前或响应返回后 临时修改内容
- 例如:篡改用户 ID、修改支付金额、模拟错误响应
- 用于测试系统 容错性、安全性、边界条件
4. 模拟弱网环境(Simulate Modem Speeds)
- 通过 Rules → Performance → Simulate Modem Speeds
- 模拟 2G/3G/高延迟网络,测试 App 在弱网下的表现
5. 重放请求(Replay Requests)
- 右键任意请求 → Replay → Reissue Requests
- 用于重复测试某个接口(如提交订单、登录)
6. 自动断点(AutoResponder)
- 将特定请求 重定向到本地文件或自定义响应
- 常用于:
- 前端联调时 mock 接口(无需后端)
- 屏蔽广告、跳过登录验证
二、Fiddler 的典型应用场景
场景 | 说明 |
|---|---|
Web 前端开发 | 调试 AJAX 请求,查看 JSON 数据结构 |
App 测试(iOS/Android) | 抓取手机 App 的 API 请求(需配置代理) |
安全测试 | 检查敏感信息是否明文传输(如密码、Token) |
性能分析 | 查看每个请求的耗时、大小、缓存策略 |
自动化测试辅助 | 获取真实接口参数,用于编写脚本 |
三、如何抓取手机 App 的流量?
- 电脑安装 Fiddler,确保与手机在同一局域网
- Fiddler 设置:
- Tools → Options → Connections → 勾选 Allow remote computers to connect
- 记下电脑 IP(如 192.168.1.100)和 Fiddler 端口(默认 8888)
- 手机设置代理:
- Wi-Fi 设置 → 手动代理 → 主机:192.168.1.100,端口:8888
- 安装 Fiddler 根证书(抓 HTTPS 必需):
- 手机浏览器访问 http://192.168.1.100:8888
- 下载并安装 FiddlerRoot certificate
- (Android 需在“加密与凭据”中信任该证书)
⚠️ 注意:部分 App 使用 证书绑定(Certificate Pinning),会阻止 Fiddler 抓包,需额外处理(如 Frida 注入)。
四、Fiddler 界面核心区域
区域 | 功能 |
|---|---|
Web Sessions 列表 | 显示所有请求,含状态码、URL、协议、大小等 |
Inspectors 标签页 | 查看/编辑请求(Request)和响应(Response)详情 |
Filters | 过滤特定域名、进程、状态码的流量 |
AutoResponder | 自动返回预设响应(Mock) |
Composer | 手动构造 HTTP 请求并发送 |
五、优点 vs 局限
优点 | 局限 |
|---|---|
免费、功能强大 | ❌ 仅支持 Windows(macOS 可用 Charles/FProxy) |
图形化界面友好 | ❌ HTTPS 抓包需手动安装证书 |
支持脚本扩展(FiddlerScript) | ❌ 无法抓取非 HTTP 流量(如 TCP、WebSocket 需插件) |
总结
Fiddler = 网络流量的“显微镜” + “手术刀”
它让开发者和测试人员 看得见、改得了、测得准 应用与服务器之间的通信过程。
📌 官网下载:https://www.telerik.com/fiddler
📌 替代工具:Charles(macOS/Windows)、Wireshark(底层抓包)、Burp Suite(安全渗透)
如需 具体操作示例(如抓微信小程序、模拟登录失败),欢迎继续提问!
浙公网安备 33010602011771号