Charles 无法抓取 Android 7 及以上手机 HTTPS 协议的深度解析与解决方案

原创 于 2025-07-01 21:50:27 发布 · 488 阅读 · 15 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#智能手机 #https #网络协议

在移动应用开发与测试过程中,网络抓包工具是我们排查问题、分析数据交互的重要助手。Charles 作为一款功能强大的抓包工具,广泛应用于 iOS 和 Android 平台。然而,不少开发者和测试人员在使用 Charles 抓取 Android 7 及以上版本手机的 HTTPS 协议时,遇到了抓包失败的情况。本文将深入探讨这一问题的根源,详细分析 Android 7 及以上系统在网络安全配置方面的区别,并提供切实可行的解决方案。​

一、Charles 抓包 HTTPS 的基本原理​

在理解问题之前,我们需要先了解 Charles 抓取 HTTPS 流量的基本原理。当手机与 Charles 代理服务器连接后,Charles 会作为中间人,在客户端(手机)和服务器之间建立安全连接。具体来说,Charles 会生成一个自签名的 CA 证书,手机安装该证书后,当手机向服务器发起 HTTPS 请求时,会将 Charles 的 CA 证书视为可信证书,从而允许 Charles 拦截并解密 HTTPS 流量,实现对加密数据的抓取和分析。

二、Android 7,8,9 网络安全配置差异对比

自 Android 7(24)发布以来,Google 对网络安全策略进行了重大调整,其中最核心的变化是引入了 ** 网络安全配置(Network Security Configuration)** 机制。这一机制允许开发者通过 XML 文件精细控制应用的网络行为,包括信任的证书颁发机构(CA)、明文流量限制等。对于 Charles 这类抓包工具而言,这一变化直接导致其默认的中间人代理模式在 Android 7 + 设备上失效,尤其是在处理 HTTPS 请求时候,下面是不同系统配置文件,

Android7 ~8.1 引入网络安全配置,默认不信任用户 CA 证书

<network-security-config>
  <base-config>
    <trust-anchors>
      <certificates src="system" />
    </trust-anchors>
  </base-config>
</network-security-config>

**仅信任系统 CA,用户 CA 被排除

Android 9(API 28):HTTPS 的全面强制化

<network-security-config>
  <!-- 禁止所有明文流量 -->
  <base-config cleartextTrafficPermitted="false">
    <trust-anchors>
      <certificates src="system" />
    </trust-anchors>
  </base-config>
  <!-- 允许特定域名的HTTP请求 -->
  <domain-config cleartextTrafficPermitted="true">
    <domain includeSubdomains="true">example.com</domain>
  </domain-config>
</network-security-config>

**禁止明文流量(cleartextTrafficPermitted="false"),进一步限制信任范围

三 配置应用的网络安全配置文件(开发者角度)​

如果您是应用开发者,可以通过配置网络安全配置文件,允许应用信任用户 CA 证书,从而使得 Charles 能够抓取该应用的 HTTPS 流量。以下是具体步骤:​

  1. 创建网络安全配置文件​
  2. 在项目的res/xml/目录下创建一个新的 XML 文件,例如network_security_config.xml
<?xml version="1.0" encoding="utf-8"?>
<network-security-config>
    <base-config cleartextTrafficPermitted="true">
        <trust-anchors>
            <certificates src="system" />
            <certificates src="user" />
        </trust-anchors>
    </base-config>
</network-security-config>

​其中,<certificates src="user" />表示允许信任用户安装的 CA 证书,<certificates src="system" />表示信任系统 CA 证书,cleartextTrafficPermitted="true"表示允许明文流量(根据需求可设置为 false)。​

3 在 AndroidManifest.xml 中引用配置​

<application
  android:networkSecurityConfig="@xml/network_security_config">
</application>

​4 重新编译和安装应用​

 完成配置后,重新编译应用并安装到手机上,此时应用将按照网络安全配置文件的设置,信任用户安装的 Charles CA 证书,从而可以被 Charles 抓取 HTTPS 流量。

四 写在最后

 在日常测试工作中,为了保证外发版本安全性,这种修改几乎不做,如果为了测试接口功能,会使用iOS系统或者Android6系统手机。

~欢迎同行交流学习

Android应用开发性能优化的知识点
xiangzhihong8的专栏
01-22 929
启动优化 视觉优化 启动主题优化 代码优化 冷启动耗时统计 Application 优化 闪屏页业务优化 广告页优化 优化效果 启动窗口 UI渲染优化 CPU、GPU的职责 查找Overdraw clipRect解决自定义View的OverDraw Hierarchy Viewer的使用 内存抖动现象 崩溃优化 崩溃 崩溃的收集 ANR 应用退出 崩溃处理 崩溃现场 崩溃分析 系统崩溃 内存优化 优化工具 Memory Profiler Memory Anal.
iOS 强大第三方资源库
热门推荐
weixin_34237596的博客
03-08 1万+
Github用法 git-recipesGit recipes in Chinese. 高质量的Git中文教程. lark怎样在Github上面贡献代码 my-git有关 git 的学习资料 gitignore非常赞 有用的.gitignore模板集合(忽略上传的文件集合),包含了各种语言. 完整App@ open-source-ios-apps- iOS开源App集合,分:swiftObjec...
深入探索 Android 网络优化(三、网络优化篇)上
QG
11-15 1326
网络优化
Android-Glide学习总结
2301_80329517的博客
05-24 1406
Glide和Bitmap的学习总结
实现原理讲解!2020Android目前最稳定和高效的UI适配方案!进阶学习资料!
CHAMPION8888的博客
12-26 247
前言 组件化是 保持整个 App 可持续地进行高质量开发的基础,近年来也是业界一直在积极探索和实践的方向,在深入理解组件化架构的过程中,将不断考验你的技术深度广度; 实践中我还参考了十几家技术团队的解决方案(例如:美团、有赞、阿里等等),在这个系列里,我将总结我对于组件化的思考和实践。 第一阶段:Android 基础知识回顾: 回顾Android 开发编程,深入理解Android系统原理和层次结构,深入分析Handler源码和原理; 回顾Java,C/C++,Kotlin、dart 在Android
移动开发中WebSocket的入门指南实践案例
移动开发前沿的博客
06-11 738
本文旨在为移动开发者提供从WebSocket基础原理到复杂工程实践的系统化指导。协议层核心机制:握手过程、数据帧格式、二进制传输优势移动平台适配:AndroidiOS原生API使用差异及跨平台方案工程化实践:连接池管理、消息队列、心跳保活、重连策略实战案例:基于WebSocket的即时通讯系统完整实现目标是帮助开发者建立从协议理解到复杂场景应用的完整知识体系,解决移动开发中实时通信的核心痛点。基础理论:对比传统HTTP,解析WebSocket核心机制。
Android复习系列⑧之《性能优化》
路漫漫其修远兮,吾将上下而求索
02-24 2257
1 性能优化分析工具学习 System Trace Hierarchy Viewer TraceView 2 布局优化 布局优化相对比较容易,优化可以先从布局来展开。使用 Hierarchy Viewer 和开发者模 式中关于布局绘制的选项,可以查到一些问题然后进行修改。 布局嵌套过深:层级嵌套过深的话,深度遍历各个节点会非常消耗时间,这也是布局优化余地最大的一个点了。很多过深的层级是不必要的。如果布局真的很复杂,不深度嵌套没法实现想要的效果。可以尝试约束布局 Constraintlayout 。 使用合适
使用CharlesAndroid APP进行抓包
2501_91100273的博客
03-14 948
Charles 是一个功能强大的 HTTP 和 HTTPS 抓包工具,通常用于网络开发、移动应用开发以及 API 调试。它允许开发人员查看网络请求和响应的详细信息,帮助分析数据传输中的问题,调试应用程序,或查看网页加载性能。Charles 特别擅长在 HTTPS 加密连接中解密数据,因此也广泛用于分析和抓取移动应用程序的网络请求。而 Sniffmaster(抓包大师)则是另一款强大的网络抓包工具,专注于网络流量的捕获分析。
五、Python复习教程(重点)-爬虫框架实战
花开如雨的博客
10-26 1万+
目录导航: 文章目录目录导航:九、Python网络爬虫进阶实战(上)1. Scrapy框架介绍安装1.1.认识Scrapy框架Scrapy框架介绍:Scrapy框架的运行原理:Scrapy主要包括了以下组件:Scrapy运行流程大概如下:1.2 Scrapy的安装:1.3 Scrapy爬虫框架的具体使用步骤如下:2. Scrapy框架的使用2.1 Scrapy框架的命令介绍Scrapy 命令 分为两种:`全局命令` 和 `项目命令`。全局命令项目命令:Scrapy框架的命令使用:shell命令, 进入sc
wuyun知识库目录
Grey的博客
01-15 9699
1269.利用Office宏及Powershell的针对性攻击样本分析2016-06-24 1268.SQL注入关联分析2016-06-24 1267.Android安全开发之ZIP文件目录遍历2016-06-23 1266.search-guard 在 Elasticsearch 2.3 上的运用2016-06-23 1265.签名加密破除-burp插件在app接口fuzz中的运用201
charles-proxy-4.2.7长期版
11-20
其4.2.7版本作为长期支持版本,为用户提供稳定且功能丰富的网络监控解决方案。 一、Charles Proxy简介 Charles Proxy以其直观的用户界面和强大的功能特性,使得网络请求的抓取、查看、修改以及模拟变得更加简单。它...
小米手机抓包案例分析:移动网络问题的快速解决
[小米手机抓包案例分析:移动网络问题的快速解决](https://i0.hdslb.com/bfs/archive/5646b386120164883b8d865b45ebe217b3daffb4.jpg@960w_540h_1c.webp) # 摘要 本文系统地介绍了移动网络抓包的基础知识,特别着重...
Badoo×亚矩云手机:社交约会革命的“云端心跳加速剂“
最新发布
2401_89598053的博客
07-01 554
Badoo的AR滤镜(如动态妆容、3D虚拟形象)、实时语音翻译、AI性格测试等功能,对设备性能要求极高。作为月活超4亿的全球陌生人社交巨头,Badoo以"附近的人+动态分享"模式,帮助用户跨越地理社交圈层建立连接。——通过云端算力打破硬件壁垒,以AI区块链技术重构社交信任体系,用沉浸式体验降低"见光死"概率,重新定义陌生人社交的未来形态。——当全球最大陌生人社交平台遇上云端算力,破解"颜值即正义"困局,重塑真实、高效、安全的下一代社交体验。Badoo用户常面临地理位置泄露、恶意骚扰、数据滥用等风险。
Hily×亚矩云手机:社交元宇宙的“云端心跳加速器”
2401_89598053的博客
06-30 260
基于ARM服务器容器技术,亚矩云手机在单台E5-2680v4服务器上可运行500+独立安卓实例,每个实例拥有唯一设备ID、MAC地址和传感器数据,逻辑隔离彻底规避平台封禁风险。企业可通过亚矩云手机构建内部社交平台,支持员工用虚拟形象参线上团建,数据仅存储于云端,避免本地设备泄露风险。传统元宇宙社交应用(如VR Chat、Decentraland)对设备性能要求极高,普通手机运行卡顿、发热严重,而Hily×亚矩云手机通过。,将用户聊天记录、位置信息等敏感数据隔离存储,即使服务器被攻破,数据也无法被解密。
灵动小组件:个性化手机美化,便捷通知管理
2501_90839605的博客
06-29 275
灵动小组件是一款手机通知栏提醒工具,手机在进行充电、播放音乐、插入耳机等操作时,就会收到通知。您还可以设置灵动岛的大小、位置,让您的手机看起来更美观。
LG 将正式终止手机相关服务,彻底告别手机市场
RUZHUA的博客
06-30 940
例如,2006 年推出的 LG Prada 领先于苹果 iPhone 数月,成为全球首款采用电容触控屏幕的手机,展现了 LG 在触控技术上的敏锐洞察和超前布局。此次服务终止影响范围广泛,涉及 LG 电子所有移动产品,包括曾备受消费者青睐的高端智能手机 G 系列和 V 系列,以及中低端系列的 LG Stylo 和 K 等。如今,随着服务周期的结束,LG 电子正式画上了手机业务的句号。LG 电子的战略调整或许能为其他厂商提供借鉴,即在激烈的市场竞争中,及时优化业务结构,聚焦核心业务,以实现可持续发展。
手机射频功放测试学习(二)——手机线性功放的静态电流和小信号(S-Parameter)测试
weixin_58745307的博客
06-29 708
本文详细介绍了手机线性功放(LPA)的测试方法,主要包括静态电流测试和S参数测试两部分。静态电流测试分为泄漏电流(待机状态)和静态电流(工作状态)测量,需使用高精度电源和MIPI指令控制。S参数测试则通过矢量网络分析仪进行,需先完成SOLT校准,再测量增益、隔离度等射频特性。文章分别阐述了手动和自动化测试步骤,指出自动化测试可显著提升效率。测试数据需记录处理并生成报告,为LPA性能评估提供依据。
手机屏色斑缺陷修复及相关液晶线路激光修复原理
syncon12的博客
07-01 567
以 1064nm 红外激光为例,通过精确控制能量密度在 2×10^6 - 3×10^6W/cm²,激光能量可使氧化层或杂质瞬间汽化,露出纯净的线路表面,降低线路电阻,恢复信号传输的完整性。设备采用X/Y轴自动精细调节、Z轴半自动智能调节模式,搭配大理石精密光学基础载物平台,以卓越的稳定性和操控性,实现对工件特定材质层短路缺陷的精准修补,展现出强大且专业的镭射修复能力。例如,RGB 信号传输线路的阻抗不一致,会使对应像素的红、绿、蓝三色光配比失衡,导致局部色彩异常,形成色斑。二、智能协同的先进控制系统​。
手机电脑同步备忘录,如何选择最适合你的工具?
xiaocao_1023的博客
07-01 235
摘要:本文推荐了几款实用的多设备同步备忘录工具,包括功能全面的敬业签、简洁直观的Google Keep、支持Markdown的Simplenote,以及专为苹果设备设计的Bear。这些工具都支持手机和电脑同步,满足不同用户对时间管理和任务记录的需求。敬业签以其多平台支持和丰富功能(分类标签、时间提醒等)尤为突出,而其他工具则各有特色,适合追求简洁、轻量级的用户。选择合适的备忘录工具能有效提升工作和学习效率。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

myting

感恩打赏!泡面终于能加蛋

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值