所有截图均来自柠檬班fiddler公开课以及Fiddler的截图,笔记为学习时自己记的笔记
fiddler界面
工具条
- 注释
给所有抓到的请求等以注释,可以保存之后发送给开发人员
- 重新请求
几个快捷键:
R:被选中的请求重放一次(重复请求接口)
Shift+R:自定义重放n次(可进行重放攻击)
delete:删除一个请求
Shift+delete:删除除了选中请求之外的其他请求
Ctrl+X:删除所有会话
- 模式
流模式:服务器返回什么内容立刻返回到客户端
缓冲模式:服务器返回的内容全部到fiddler之后再返回到客户端(一般fiddler用这个)
- 解码
上图的解码选中之后可以对所有的请求进行解码
上图单击之后是对当前的请求进行解码
-
保存会话
all是保存所有会话,如果机器性能较低,可以保持100-1w个会话(会话是占内存的) -
选择抓取/监听的应用程序
选中之后点击某个浏览器,即可只抓取该浏览器的请求
-
截图
截图并加入到会话列表中 -
计时器
-
快捷打开浏览器
-
清除缓存
-
文本编码解码工具
-
分离面板
-
MSDN搜索
-
本机的在线信息
监控面板/会话列表
- #:id
- Result:结果
即响应结果,响应行的状态码 - Protocol:是HTTP还是HTTPS
- Host:主机
- URL:统一资源定位器,路径
注:Host+URL即为完整的请求 - body:请求内容有多大(字节为单位)
- Caching:是否有缓存
- Content-Type:内容类型
是HTML、css、js等 - Process:抓的是哪个进程的
- Comments:备注
命令行+状态栏
- 快速执行命令
需要学习就在里面输入type Help to learn more,到官方文档学习
-
Capturing:正在启用代理功能
如果关闭,那fiddler抓不到包了
-
选择会话
-
断点
无断点
请求前断点
响应后断点
-
会话数量
前面的数字指选择了几个会话,后面的数字指列表中有多少会话
-
附加信息
包括断点等信息
辅助标签+工具(常见)
-
Statistic统计分析(前端使用较多)
-
Inspectors检查器
检查请求使用,上面是请求报文,下面是响应报文,熟练的话可以点Raw以原生的方式查看
以bilibili首页为例
上面这一栏可以按照自己的需要分级查看相应信息
-
AutoResponder自动响应器(必学)
如果要修改某些东西,不能直接到生产环境中修改,就可以使用自动响应器重定向到本地修改
复制要修改的东西的地址-选中要修改的会话,到AutoResponder-Add Rule-Rule Editor粘贴地址-选择内置响应状态码-save
注:
-
要使用规则,需要选中Enable rules,同时放行没有选中的内容(第1、3项)
-
也可以替换文件,在状态码中最下面选择Find a file,即可替换成其他的文件
-
模拟未做好的接口,以登录为例
将会话拖到AutoResponder中,右键选择Edit Response,编辑相应的响应
- Composer设计器
设计请求报文,点击Execute执行
是简单的接口测试工具,发包
选择要测试的会话,将会话拖动到Composer中,会自动填充请求报文,我们则在Request Body中编辑我们想要响应的内容
可以绕过前端发起一些非法的请求,可以看到后端的校验工作是否完成(程序的健壮性是否强)
e.g.
输入手机号码,如果位数不够会提示,不能点击登录按钮,但是如果设计响应,直接用Composer发包到服务器,则看后端会不会进行手机号位数的验证
Scratchpad可以同时容纳多个会话的请求,但是只能选择其中某一个执行
- Filters过滤器
帮助用来过滤请求,类似SQL语句中where的作用,共有7部分:
主机过滤
进程过滤
请求头过滤
断点过滤
响应状态码过滤
响应类型、大小过滤
响应头过滤
如何保存:Actions-Run Filterset now
-
主机过滤
分为展示全部、局域网、广域网
隐藏、只展示、标记以下主机
可以只展示以下主机
tips:在监视会话列表中右键选中会话,copy-This Column可以直接复制主机 -
进程过滤
只抓取某个进程的包,选项中会展示当前所有进程都列举出来
只展示IE流量、隐藏服务进程等等
-
请求头过滤
直接一图流吧
-
断点过滤
只取一例:POST请求时才是断点
其他亦同
HTMLHttpRequest:ajax
GET:GET
Content-Type:自定义 -
响应状态码过滤
自己翻译 -
响应类型、大小过滤
下图是阻塞后缀名为对应名称的文件,大于小于的就不用说了
-
响应头过滤
直接翻译即可,参考请求头