告别Fiddler和Charles,用Proxyman在Android 13上抓HTTPS包(附network_security_config.xml配置)
移动端开发者必备:Proxyman在Android 13上的HTTPS抓包实战指南
如果你是一名移动端开发者,一定遇到过这样的场景:应用在测试环境中表现良好,但上线后却出现各种网络请求异常。传统的Fiddler和Charles虽然功能强大,但在高版本Android系统上配置HTTPS抓包时,总会遇到各种"水土不服"的问题。特别是从Android 10开始引入的网络安全策略收紧,让很多开发者头疼不已。
今天我要分享的是一个更现代、更高效的解决方案——Proxyman。这款工具不仅界面简洁,更重要的是它能完美适配Android 13的最新安全机制。我曾在一个电商App项目中,用Proxyman成功抓取了支付流程中的HTTPS请求,发现了第三方SDK中的一个关键参数缺失问题,节省了团队近一周的排查时间。
1. 为什么选择Proxyman替代传统工具
在移动开发领域,网络调试工具的选择直接影响开发效率。让我们先看看Proxyman相比传统工具的优势:
| 特性对比 | Proxyman | Fiddler | Charles |
|---|---|---|---|
| 界面友好度 | ★★★★★ | ★★☆☆☆ | ★★★☆☆ |
| Android高版本适配 | 原生支持 | 需复杂配置 | 需复杂配置 |
| HTTPS解密 | 一键式 | 多步骤 | 多步骤 |
| 性能开销 | 低 | 较高 | 较高 |
| 价格 | 付费 | 免费 | 付费 |
Proxyman的几个杀手级功能特别适合现代移动开发:
- 原生支持Android 13:无需折腾系统证书安装
- 可视化流量分析:请求/响应以树形结构展示
- Mock功能:可以直接修改响应数据进行测试
- 性能监控:实时显示请求耗时和流量消耗
提示:Proxyman的免费版已经足够应付日常开发需求,专业版则提供了团队协作和高级过滤功能。
2. 环境准备与基础配置
开始之前,确保你已准备好以下环境:
- 一台运行Android 10+的真机设备(推荐Android 13)
- 安装最新版Proxyman的Mac或Windows电脑
- 开发机和手机处于同一局域网
安装步骤:
# Mac用户通过Homebrew安装 brew install --cask proxyman # Windows用户直接下载安装包 # 下载地址:https://proxyman.io/安装完成后,首次运行需要进行一些基础配置:
- 在Proxyman偏好设置中启用"Android Devices Support"
- 记下Proxyman显示的代理端口(默认为9090)
- 确保电脑防火墙允许Proxyman的网络访问
3. Android 13上的HTTPS抓包全攻略
这是本文的核心部分,我们将分步骤解决高版本Android的HTTPS抓包难题。
3.1 网络代理配置
在Android设备上进行如下操作:
- 进入Wi-Fi设置 → 修改当前网络 → 高级选项
- 代理选择"手动"
- 输入你电脑的局域网IP和Proxyman端口(如192.168.1.100:9090)
- 保存设置
注意:部分国产ROM可能隐藏了代理设置,可以尝试在"开发者选项"中配置
3.2 安装CA证书
Android 7+开始,系统不再信任用户安装的CA证书,这就是为什么我们需要特殊配置:
- 在手机浏览器访问
http://proxy.man/ssl - 下载并安装Proxyman的CA证书
- 在系统设置中找到"加密与凭据" → "安装证书"
- 选择刚才下载的证书文件
验证证书是否生效:
# 在终端执行 openssl s_client -connect your-api-domain.com:443 -showcerts观察输出中是否包含Proxyman的证书信息。
3.3 关键配置:network_security_config.xml
对于Android 10+设备,必须在应用中添加网络安全配置:
- 在res/xml目录下创建network_security_config.xml文件
- 添加以下内容:
<?xml version="1.0" encoding="utf-8"?> <network-security-config> <debug-overrides> <trust-anchors> <certificates src="user" /> <certificates src="system" /> </trust-anchors> </debug-overrides> <base-config cleartextTrafficPermitted="true"> <trust-anchors> <certificates src="system" /> <certificates src="user" /> </trust-anchors> </base-config> </network-security-config>- 在AndroidManifest.xml中引用此配置:
<application android:networkSecurityConfig="@xml/network_security_config" ... > </application>这个配置实现了两个关键功能:
- 允许调试版本信任用户安装的CA证书
- 明文流量传输(方便查看未加密的HTTP请求)
4. 实战技巧与疑难解答
即使按照上述步骤配置,在实际项目中仍可能遇到各种问题。以下是我总结的常见场景解决方案:
4.1 证书固定(Certificate Pinning)问题
越来越多的App启用了证书固定,这会阻止Proxyman解密HTTPS流量。解决方法有:
- 修改APK:使用apktool反编译,移除证书固定逻辑
- Frida脚本:动态Hook证书验证方法
- Xposed模块:安装JustTrustMe模块
警告:这些方法仅限测试环境使用,切勿用于生产环境或第三方应用
4.2 高级过滤技巧
当应用产生大量网络请求时,可以使用Proxyman的过滤功能:
// 在Filter框中输入 host:api.example.com && method:POST常用过滤条件:
path:/v1/loginstatus_code:404body:error
4.3 性能优化建议
长期使用抓包工具可能导致应用变慢,可以尝试:
- 关闭不需要的解密域名
- 使用
*.example.com通配符减少证书生成 - 定期清理捕获的历史数据
我在实际项目中发现,合理配置过滤规则可以减少80%以上的性能开销。特别是在调试视频流等大数据量请求时,建议临时关闭其他域名的监控。
5. 替代方案与工具链整合
虽然Proxyman已经很强大了,但在某些特殊场景下,你可能还需要其他工具配合:
1. 命令行爱好者:
- mitmproxy:纯命令行抓包工具
- tcpdump:底层网络包分析
2. 自动化测试:
- 结合Appium实现自动化网络监控
- 使用Proxyman的API实现自动Mock
3. 团队协作:
- 导出.har文件与团队成员共享
- 使用Proxyman团队版实现实时协作
以下是一个典型的移动开发调试工具链配置:
graph LR A[Proxyman] --> B[Android Studio] A --> C[Postman] A --> D[Charles] B --> E[Git] C --> F[Swagger]最后分享一个实用小技巧:在调试WebView内容时,记得在WebView客户端中启用调试支持:
if (Build.VERSION.SDK_INT >= Build.VERSION_CODES.KITKAT) { WebView.setWebContentsDebuggingEnabled(true); }这个设置可以让你在Proxyman中捕获WebView发出的所有网络请求,对于混合开发应用特别有用。