android https正確調用方案（防中間人劫持），androidhttps

android https正確調用方案（防中間人劫持），androidhttps

以下內容為原創，歡迎轉載，轉載請注明

來自博客園：http://www.cnblogs.com/joey-hua/p/4971380.html

1.劫持https接口

很多android客戶端雖然使用了https，但還是能被第三方抓包工具如fiddler劫持，因為他們的代碼使用了諸如ALLOW_ALL_HOSTNAME_VERIFIER之類的方式允許任何證書。這樣的話可以使用fiddler自帶的證書偽裝服務端證書來獲取到中間通訊的數據。使用方法關鍵步驟：

下圖是劫持的工商銀行安卓版app數據：

紅框的是工行的接口，藍色文字表示抓到數據，具體數據就不發了，是我自己的賬號。綠色框的是我自己的服務端的接口，因為做了處理所以沒有被抓顯示的是灰色文字。上圖必須要用偽裝證書，否則直接抓取同一個接口也抓不到的。

2.解決方案

【文檔下載】