Fiddler 5.0 移动端抓包实战:Android/iOS 双平台 HTTPS 证书配置 3 步避坑

📅2026/7/12 13:49:51 👁️次浏览
Fiddler 5.0 移动端抓包实战:Android/iOS 双平台 HTTPS 证书配置 3 步避坑
Fiddler 5.0 移动端抓包实战Android/iOS 双平台 HTTPS 证书配置 3 步避坑移动应用开发与测试过程中抓包工具是定位问题的利器。Fiddler 作为老牌 HTTP/HTTPS 抓包工具在 5.0 版本中对移动端支持更加完善。本文将聚焦 HTTPS 抓包最关键的证书配置环节针对 Android 和 iOS 系统的差异提供可落地的解决方案。1. 环境准备与基础配置在开始配置前需要确保满足以下基础条件网络环境移动设备与运行 Fiddler 的 PC 需处于同一局域网工具版本Fiddler 5.0 或更高版本系统权限关闭防火墙或允许 Fiddler 通过防火墙1.1 Fiddler 基础设置首先进行 Fiddler 的远程连接配置打开 Fiddler进入Tools Options Connections勾选Allow remote computers to connect记录代理端口号默认 8888重启 Fiddler 使配置生效# 查看本机 IP 地址Windows ipconfig | findstr IPv41.2 HTTPS 抓包配置要捕获 HTTPS 流量需额外配置进入Tools Options HTTPS勾选Decrypt HTTPS traffic勾选Ignore server certificate errors重启 Fiddler注意首次配置时会提示安装 Fiddler 根证书到本地计算机这是 HTTPS 解密的关键步骤。2. Android 平台证书配置避坑指南Android 系统版本碎片化严重不同版本证书安装路径和方式差异较大。以下是经过验证的通用方案。2.1 证书安装标准流程在手机浏览器访问http://PC_IP:8888点击FiddlerRoot certificate下载证书进入系统设置安装证书Android 7.0 及以下设置 安全 从存储设备安装Android 8.0设置 安全 高级 加密与凭据 安装证书 CA 证书常见问题解决方案问题现象可能原因解决方案无法下载证书代理未生效检查手机代理设置是否正确安装时提示无证书文件格式不识别手动修改文件扩展名为.crt安装后仍提示不安全证书未信任在用户凭据中手动启用信任2.2 Android 9.0 特殊配置从 Android 9 开始系统默认不信任用户安装的 CA 证书。需要额外配置在应用清单中添加网络安全配置network-security-config base-config trust-anchors certificates srcuser/ /trust-anchors /base-config /network-security-config在AndroidManifest.xml中引用配置application android:networkSecurityConfigxml/network_security_config ... 3. iOS 平台证书配置全流程iOS 的证书管理更为严格需要完成安装和信任两个独立步骤。3.1 证书安装步骤使用 Safari 访问http://PC_IP:8888点击FiddlerRoot certificate下载系统会自动跳转到证书安装界面完成安装后提示已下载描述文件3.2 关键信任设置iOS 特有的证书信任配置进入设置 通用 关于本机选择证书信任设置找到DO_NOT_TRUST_FiddlerRoot证书启用完全信任开关重要提示iOS 13 需要额外在设置 通用 VPN与设备管理中启用证书3.3 常见 iOS 专属问题问题1安装后立即显示未验证解决方案检查系统时间是否准确时区设置是否正确问题2特定应用仍无法抓包原因应用启用了证书固定Certificate Pinning解决方案需要逆向修改应用或使用越狱设备4. 双平台通用排错技巧当遇到抓包失败时可按照以下决策树排查检查基础连接PC 和手机能否互相 ping 通手机代理设置是否正确验证证书状态# 在 Fiddler 的 QuickExec 框中输入 certmgr查看 Fiddler 根证书是否存在且有效检查 HTTPS 解密状态确认 Fiddler 的 HTTPS 解密功能已开启查看会话列表中的Protocol列是否为HTTPS高级调试手段启用 Fiddler 的日志功能File Capture Traffic使用CtrlX清除会话后重现问题对于顽固问题可以尝试重置所有配置# 重置 Fiddler 配置 fiddler.exe /reset5. 安全注意事项与最佳实践测试完成后务必关闭手机代理设置不要在生产环境使用此配置定期更新 Fiddler 根证书有效期默认1年敏感数据应使用过滤规则屏蔽// 在 FiddlerScript 中添加 if (oSession.uriContains(password)) { oSession[ui-hide] true; }移动端抓包是开发调试的重要手段但需要特别注意用户隐私保护。建议仅在测试环境使用并对抓取的数据进行匿名化处理。