fiddlerfilter：實現http/https流量攔截和修改的利器

一、初識fiddlerfilter

fiddlerfilter是一款強大的HTTP/HTTPS調試工具，由Eric Lawrence在2003年創建，主要功能包括抓包、流量攔截、自動化測試、Web性能分析等。fiddlerfilter就是fiddler插件的一種，通過它可以實現對http/https流量的攔截和修改，使得本應不可修改的請求和響應都能夠被我們輕鬆修改。

為了熟悉fiddlerfilter，我們需要了解幾個基本概念。首先是會話(Session)，一個會話代表了一對請求和響應的來往，即一個完整的HTTP事務。其次是fiddlerfilter腳本，能夠使用JavaScript對會話進行操作。Fiddler有一個內置的IDE，可用於編寫、調試、運行腳本和查看調試結果等操作。

二、常見應用場景

fiddlerfilter廣泛應用於web開發、API測試和安全審計等領域。下面列舉了一些常見應用場景：

1、API Mock

在介面開發的時候，為了不依賴於開發完整的後台介面，通常需要搭建Mock伺服器進行模擬。使用fiddlerfilter寫腳本，我們可以對請求進行攔截，根據業務邏輯返回不同的響應，從而實現API Mock的功能。

if (oSession.host.toLowerCase() == "mock.server.com") {
    oSession.utilCreateResponse(200, "OK");
    oSession.ResponseBody = "Data from mock server";
}

2、性能分析

fiddlerfilter可以很方便地對頁面請求進行攔截和修改，所以可用於幫助優化網站性能。例如，我們可以在響應頭添加Cache-Control來控制文件緩存：

if (oSession.responseCode == 200 && oSession.oResponse.headers.Exists("Last-Modified")) {
    oSession.oResponse.headers.Remove("Last-Modified");
    oSession.oResponse.headers.Add("Cache-Control", "max-age=3600");
}

3、調試HTTPS協議

fiddler通常被用來截獲HTTP/HTTPS請求和響應，方便研究互動式應用程序。fiddlerfilter還能夠幫助我們解決調試HTTPS上的一些問題，如fiddler默認不支持HTTPS請求。在fiddlerfilter腳本中可以實現TLS連接攔截。

if (oSession.isHTTPS == true && oSession.host.toLowerCase() == "www.target.com") {
    oSession["x-replywithcert"] = "www.target.com";
}

4、XSS攻擊檢測

XSS攻擊是Web安全中比較常見和危險的攻擊方式，通過篡改HTML代碼，使得用戶點擊頁面時執行惡意腳本。使用fiddlerfilter，我們可以在HTTP響應中的JavaScript代碼中檢測潛在的XSS漏洞。

if (oSession.oResponse.headers.Exists("Content-Type") && oSession.oResponse.headers["Content-Type"].IndexOf("text/javascript") >= 0) {
    if (oSession.utilFindInResponse("<script>", false) >= 0) {
        FiddlerObject.alert("XSS detected!");
    }
}

三、fiddlerfilter的基本語法

fiddlerfilter腳本使用JavaScript語言，支持大部分JavaScript基礎語法和DOM操作。本節介紹fiddlerfilter腳本中的基本語法。

1、條件語句（if/else）

條件語句用來判斷一個表達式是否為真，如果為真則執行一組語句，否則執行另一組語句。

if (表達式) {
    語句塊1
} else {
    語句塊2
}

2、循環語句（for/while）

循環語句用來重複執行一組語句，只要條件滿足就會一直循環執行。

for (初始化語句; 判斷語句; 更新語句) {
    語句塊
}

while (表達式) {
    語句塊
}

3、函數定義

定義一個函數可以將一組語句封裝到一起，方便復用和管理。

function 函數名(參數列表) {
    語句塊
}

四、fiddlerfilter的進階應用

fiddlerfilter的強大功能使它在應用中的靈活性非常高，因此有時也需要通過腳本實現更為複雜的操作。

1、修改請求頭和響應頭

我們可以通過修改請求頭、響應頭來實現多種功能，例如添加跨域頭。

oSession.oRequest.headers.Add("Access-Control-Allow-Origin", "*");

2、實現自動化測試

fiddlerfilter可以與第三方的自動化測試工具結合使用，實現一些特定的自動化測試需求。

3、實現負載均衡

在高並發情況下，我們可以使用fiddlerfilter實現負載均衡，將請求分散到多台伺服器，並將響應聚合返回。

五、總結

本文介紹了fiddlerfilter的基本概念、常見應用場景、基本語法和進階應用。fiddlerfilter是一款非常實用的HTTP/HTTPS調試工具，可以為我們的工作提供非常大的便捷和幫助。