阅读原文
Charles 作为一个“中间人代理”,当浏览器和服务器通信时, Charles 接收服务器的证书,但动态生成一张证书发送给浏览器,也就是说 Charles 作为中间代理在浏览器和服务器之间通信,所以通信的数据可以被 Charles 拦截并解密。由于 Charles 更改了证书,浏览器校验不通过会给出安全警告,必须安装 Charles 的证书后才能进行正常访问。
下面来看具体的流程:
这就是我们执行【在电脑上安装Charles根证书】或【移动端安装Charles根证书】的理由了。 CA证书 认证链的终点是根证书,如果能证明该证书的颁发机构的根位于系统根证书列表内,则说明该证书就是有效的。
其实即使我们不在客户端安装 Charles 根证书,仅仅执行【指定需要解析的Https请求】这一步也是可以抓取 Https 数据的。
但此时客户端会发出警告信息,选择忽视警告继续访问就可以了。
这种情况也有例外,如果服务端Https使用 HSTS 规则的话,当证书不被系统信任时,连接是不会创建成功的。
参考检测代理方法
以上设置,会校验请求的时候不仅仅校验域名,会将证书中的公钥及其他信息也进行校验,中间人伪造的证书就无法通过验证,无法进行抓包。