关于面向Android7.0及以上系统的应用无法通过charles抓包
默认情况下,来自所有应用的安全连接(使用TLS和HTTPS之类的协议)均信任预装的系统CA,而面向6.0及以下系统版本的应用默认情况下还会信任用户添加的CA证书。如果我们将targetSdkVersion修改到24以上的时候,应用则不会信任用户安装的证书了。
详细说明见官方文档。
这时,当我们通过charles或其他抓包工具抓取应用的Https请求时,尽管在手机上暗安装了charles证书,则仍会显示证书链不被信任。
我们有两种解决方案,适用不同的场景。
在manifest文件中配置application的属性android:networkSecurityConfig=”@xml/network_security_config”
通过network_security_config.xml文件可以自定义网络安全设置,包括如下功能:
- 自定义信任的证书机构:适用于自签名证书或限制应用信任系统预装证书
- 证书固定:将应用的安全连接限制为特定的证书,适用于代理抓包、线下环境调试
- 明文通信选择退出:防止应用意外使用明文通信
- 仅调试重写:在debug状态设置上述限制
详细的配置可参考官方文档
那么我们为了使我们的应用信任charles的证书,可以选择证书固定或者直接信任用户安装的证书。配置如下:
固定证书:
<?xml version="1.0" encoding="utf-8"?>
<network-security-config>
<domain-config>
<domain includeSubdomains="true">example.com</<