Fiddler 学习教程

1. Fiddler 简介

Fiddler 是一个强大的 HTTP 调试代理工具，允许开发人员捕获、检查、监视所有 HTTP(S) 流量，并且可以分析、修改请求和响应。本节将介绍 Fiddler 的基本概念、特点和使用场景。

1.1 什么是 Fiddler

Fiddler 是由 Telerik 开发的一款免费的 Web 调试代理工具，它能够记录计算机和互联网之间的所有 HTTP(S) 通信。通过 Fiddler，你可以监控、检查和修改进出你电脑的 HTTP 请求和响应，使其成为开发和测试 Web 应用程序的理想工具。

1.2 主要功能

• 捕获和检查所有 HTTP(S) 流量
• 拦截和修改请求与响应
• 设置断点，模拟网络延迟
• 自动响应特定请求
• 性能分析和网络故障排查
• 安全测试与调试
• 支持扩展的插件系统

1.3 使用场景

Fiddler 在以下场景中特别有用：

• Web 开发与调试：分析前端请求，追踪 API 调用，调试 AJAX 请求
• 移动应用测试：捕获移动设备的网络流量
• 安全测试：检查敏感数据传输，修改请求进行安全测试
• 性能优化：分析网络请求的加载时间与性能瓶颈
• 接口测试：验证 API 返回的数据格式与内容
• 网络故障排查：定位和解决网络通信问题

4. HTTP/HTTPS 请求分析

本章将深入介绍如何使用Fiddler分析HTTP/HTTPS请求和响应，帮助您理解Web通信的细节，发现潜在问题，并优化应用性能。

4.1 HTTP请求和响应结构

在深入分析之前，先了解HTTP请求和响应的基本结构：

4.1.1 HTTP请求结构

一个完整的HTTP请求包含以下部分：

• 请求行：包含请求方法（GET、POST等）、请求URL和HTTP协议版本
• 请求头：包含客户端信息、接受的内容类型、cookie等
• 空行：分隔请求头和请求体
• 请求体：POST、PUT等方法携带的数据

GET /api/users HTTP/1.1
Host: example.com
User-Agent: Mozilla/5.0
Accept: application/json
Cookie: session=abc123

4.1.2 HTTP响应结构

一个完整的HTTP响应包含以下部分：

• 状态行：包含HTTP协议版本、状态码和状态消息
• 响应头：包含服务器信息、内容类型、长度等
• 空行：分隔响应头和响应体
• 响应体：实际返回的内容（HTML、JSON、图片等）

HTTP/1.1 200 OK
Content-Type: application/json
Content-Length: 234
Cache-Control: max-age=3600

{"id": 123, "name": "John Doe", "email": "john@example.com"}

4.2 详细分析HTTP请求

Fiddler提供了多种工具来分析HTTP请求的各个方面：

4.2.1 分析请求方法和URL

在会话列表中，您可以查看每个请求的方法（GET、POST等）和URL。双击会话打开检查器，在请求选项卡下可以查看完整的请求信息。

常见的HTTP请求方法及其用途：

4.2.2 分析请求头

请求头包含有关客户端和请求的重要信息。在Fiddler的检查器中，选择Headers标签页查看格式化的请求头。重要的请求头包括：

• User-Agent：浏览器或客户端标识
• Accept：接受的内容类型（如text/html、application/json）
• Authorization：身份验证信息
• Cookie：客户端存储的Cookie
• Referer：来源页面的URL
• Content-Type：请求体的MIME类型（用于POST/PUT等）
• Content-Length：请求体的长度
• Cache-Control：缓存控制指令

4.2.3 分析请求参数

查看和分析请求参数的方法：

• URL查询参数：在Inspectors选项卡的WebForms视图中可以看到格式化的URL参数
• POST数据：对于表单提交，同样可以在WebForms视图中查看
• JSON数据：在JSON视图中，可以查看格式化的JSON请求体
• XML数据：在XML视图中，可以查看格式化的XML请求体

4.2.4 分析Cookie

Cookie是跟踪用户会话和状态的重要机制。在Inspectors选项卡中：

1. 选择Headers视图，查看Cookie请求头
2. 使用Cookies视图（如果可用），查看解析后的各个Cookie及其值

4.3 详细分析HTTP响应

同样，Fiddler提供多种工具来分析服务器响应：

4.3.1 分析状态码

HTTP状态码指示请求的结果。常见状态码及其含义：

在Fiddler中，会话列表的Result列显示状态码，不同状态码类别以不同颜色显示，方便快速识别问题。

4.3.2 分析响应头

响应头包含有关服务器和响应的重要信息。重要的响应头包括：

• Content-Type：响应体的MIME类型
• Content-Length：响应体的长度
• Cache-Control：缓存控制指令
• Set-Cookie：设置客户端Cookie
• Server：服务器软件信息
• Date：响应生成时间
• Last-Modified：资源最后修改时间
• ETag：资源的标识符，用于缓存验证

4.3.3 分析响应内容

根据响应的Content-Type，Fiddler提供不同的查看方式：

• TextView：以文本形式查看响应体
• WebView：用内置浏览器渲染HTML响应
• ImageView：显示图片响应
• HexView：以十六进制查看二进制数据
• JSON/XML：格式化显示JSON或XML数据
• Auth：分析授权信息

4.4 HTTPS解密分析

启用HTTPS解密后，Fiddler可以检查加密的HTTPS流量：

4.4.1 HTTPS解密原理

Fiddler的HTTPS解密使用"中间人"技术：

1. Fiddler生成并安装自签名根证书
2. 当浏览器请求HTTPS站点时，Fiddler：
   • 与服务器建立安全连接
   • 使用自己的证书与浏览器建立安全连接
   • 在两个连接之间转发数据，同时查看解密后的内容

4.4.2 验证HTTPS解密是否有效

确认HTTPS解密工作正常的方法：

1. 访问任何HTTPS网站（如https://www.google.com）
2. 在Fiddler中，确认可以看到会话的完整详情，包括请求和响应的内容
3. 如果只能看到连接信息但看不到内容，则HTTPS解密可能未正确配置

4.5 常见HTTP问题分析

使用Fiddler可以发现和诊断各种常见的HTTP问题：

4.5.1 404错误（未找到）

检查URL是否正确，确认资源路径无误。常见原因：

• URL拼写错误
• 资源已移动或删除
• 服务器配置问题

4.5.2 500错误（服务器错误）

检查服务器端是否有异常。常见原因：

• 服务器代码运行错误
• 数据库连接问题
• 服务器配置错误

查看响应体可能包含的错误信息，这对调试非常有帮助。

4.5.3 302/301重定向链

过多的重定向会影响性能。使用Fiddler的Timeline视图跟踪重定向链，确认是否有不必要的重定向。

4.5.4 CORS问题

跨域资源共享(CORS)问题常见于前端开发。查找响应中的Access-Control-Allow-Origin等头信息，确认服务器是否正确配置了CORS。

4.5.5 Cookie问题

会话跟踪和认证问题常与Cookie相关。检查：

• Cookie是否正确设置
• 域和路径设置是否正确
• Secure和HttpOnly标志是否适当设置
• SameSite属性是否配置

4.6 实用分析技巧

4.6.1 对比会话

同时分析两个会话可以发现差异：

1. 按住Ctrl键选择两个会话
2. 右键点击，选择"Compare"
3. Fiddler将显示两个会话的差异

4.6.2 查找缺失的资源

要查找页面加载过程中缺失的资源：

1. 在过滤器中输入result:404
2. 查看结果，找出所有404错误

4.6.3 查找慢请求

识别影响性能的慢请求：

1. 在会话列表中点击"Duration"列，按耗时排序
2. 分析耗时较长的请求，查找性能瓶颈

4.6.4 分析请求时序

使用Timeline视图分析请求的时间顺序和依赖关系：

1. 在Fiddler主界面中，选择View > Timeline
2. 观察请求的瀑布图，了解加载顺序和时间分布

5. 请求拦截与修改

Fiddler最强大的功能之一是能够拦截并修改HTTP请求和响应。本章将介绍如何使用这些功能来测试、调试和优化Web应用程序。

5.1 使用AutoResponder

AutoResponder允许您为特定请求设置自动响应，无需实际发送请求到服务器。

5.1.1 启用AutoResponder

1. 在Fiddler右侧面板中，选择AutoResponder标签
2. 勾选Enable automatic responses
3. （可选）勾选Unmatched requests pass through，这样未匹配的请求会正常发送到服务器

5.1.2 创建规则

创建自动响应规则的步骤：

1. 点击Add Rule按钮
2. 在第一个输入框中输入匹配规则（可以使用精确URL或通配符模式）
3. 在第二个输入框中选择或输入响应动作
4. 点击Save保存规则

5.1.3 常用响应动作

5.1.4 使用现有会话创建规则

更简单的方法是基于已捕获的会话创建规则：

1. 在会话列表中找到您想要模拟的响应
2. 将其拖放到AutoResponder标签面板中
3. 编辑匹配规则（如果需要）
4. 点击Save保存规则

5.1.5 AutoResponder的应用场景

• 前端开发：将API请求重定向到本地模拟数据
• 测试错误处理：模拟服务器错误或慢响应
• 性能测试：模拟不同网络条件
• 替换静态资源：用本地修改版本替换远程JS/CSS文件

5.2 使用请求构造器(Composer)

Composer允许您手动创建和发送HTTP请求，无需使用浏览器。

5.2.1 访问Composer

有两种方法可以打开Composer：

• 在主菜单中选择Tools > Composer
• 按下Ctrl+N快捷键

5.2.2 创建新请求

1. 选择HTTP方法（GET、POST等）
2. 输入请求URL
3. （可选）添加请求头和请求体
4. 点击Execute按钮发送请求

5.2.3 基于现有请求

更快的方法是基于已捕获的会话创建新请求：

1. 在会话列表中选择目标请求
2. 右键点击并选择Copy > Copy to Composer，或者拖放到Composer标签
3. 修改请求（如更改URL、头或体）
4. 点击Execute发送修改后的请求

5.2.4 Composer的应用场景

• API测试：测试REST API端点，无需使用专用工具
• 表单提交测试：修改和重放表单提交
• 认证测试：测试不同认证头的效果
• 安全测试：测试API参数验证和安全限制

5.3 使用FiddlerScript修改请求/响应

FiddlerScript是一种基于JScript.NET的脚本语言，允许您编程方式修改请求和响应。

5.3.1 访问FiddlerScript编辑器

1. 在主菜单中选择Rules > Customize Rules...
2. 这将打开默认的脚本文件（CustomRules.js）

5.3.2 理解事件处理器

FiddlerScript定义了多个事件处理器函数，在请求/响应生命周期的不同阶段被调用：

• OnBeforeRequest：在请求发送到服务器前调用
• OnBeforeResponse：在响应返回给客户端前调用
• OnStartup：在Fiddler启动时调用
• OnShutdown：在Fiddler关闭时调用

5.3.3 常见修改示例

下面是一些常见的FiddlerScript修改示例：

修改请求头：

static function OnBeforeRequest(oSession: Session) {
    // 添加自定义请求头
    oSession.oRequest["X-Custom-Header"] = "CustomValue";
    
    // 修改User-Agent
    oSession.oRequest["User-Agent"] = "Custom User Agent";
}

修改响应内容：

static function OnBeforeResponse(oSession: Session) {
    // 检查响应是否为HTML
    if (oSession.oResponse.headers.ExistsAndContains("Content-Type", "text/html")) {
        // 将所有响应中的"Hello"替换为"Goodbye"
        oSession.utilReplaceInResponse("Hello", "Goodbye");
    }
}

模拟网络延迟：

static function OnBeforeRequest(oSession: Session) {
    // 为特定域名添加延迟
    if (oSession.hostname.EndsWith("example.com")) {
        // 添加500毫秒延迟
        oSession["request-trickle-delay"] = "500";
    }
}

5.3.4 保存和应用更改

修改FiddlerScript后：

1. 保存文件（Ctrl+S）
2. Fiddler会自动重新加载脚本
3. 在状态栏中查看是否有编译错误

5.4 使用断点调试

Fiddler的断点功能允许您在请求发送前或响应返回前暂停并修改内容。

5.4.1 设置断点

有多种方式设置断点：

• 全局断点：在工具栏上点击Rules > Automatic Breakpoints，然后选择
  • Before Requests - 在所有请求发送前暂停
  • After Responses - 在所有响应返回前暂停
  • Disabled - 禁用断点
• 特定会话断点：在会话列表中右键点击某个会话，选择Break on...选项

5.4.2 修改请求/响应

当断点触发时：

1. Fiddler会显示请求/响应编辑器
2. 您可以编辑头信息、URL或请求/响应体
3. 点击Run to Completion继续处理
4. 点击Break on Response（仅请求断点）设置对应响应的断点

5.4.3 断点的应用场景

• 实时修改请求参数：测试不同参数的效果
• 修改认证信息：尝试不同的认证凭据
• 篡改响应数据：测试前端错误处理
• 学习目的：理解API请求和响应格式

5.5 应用实例：API测试

下面是一个完整的API测试案例，将多种技术结合起来：

5.5.1 捕获原始请求

1. 启动Fiddler并确保捕获功能已开启
2. 在应用中触发目标API请求
3. 在Fiddler中找到并选择该API请求

5.5.2 修改并重放请求

1. 右键点击请求，选择Copy > Copy to Composer
2. 在Composer中，修改请求参数或头信息
3. 点击Execute发送修改后的请求
4. 比较原始响应和修改后的响应

5.5.3 创建自动响应

1. 将API请求拖放到AutoResponder面板
2. 编辑响应内容以测试前端错误处理
3. 保存规则并启用AutoResponder
4. 在应用中再次触发相同请求，观察应用如何处理修改后的响应

6. 性能分析

Fiddler是Web应用性能分析的强大工具，可帮助识别性能瓶颈和优化机会。本章将介绍如何使用Fiddler分析和优化网站加载性能。

6.1 性能指标概述

在深入分析之前，先了解一些关键的Web性能指标：

6.2 使用Statistics检查单个请求性能

Fiddler的Statistics标签提供了单个请求的详细性能分析：

6.2.1 访问Statistics视图

1. 在会话列表中选择一个请求
2. 在右侧检查器面板中，切换到Statistics标签

6.2.2 解析Statistics数据

Statistics标签显示了请求生命周期的关键时间点：

• Client Connected：客户端连接到Fiddler的时间
• Request Headers：客户端发送请求头的时间
• Request Body：客户端发送请求体的时间
• Response Headers：收到服务器响应头的时间
• Response Body：收到服务器响应体的时间
• Request Complete：请求完成的时间

此外，还提供了各阶段的耗时分析，例如：

• DNS Lookup：域名解析时间
• TCP/IP Connect：TCP连接建立时间
• HTTPS Handshake：SSL/TLS握手时间
• ServerProcess：服务器处理时间
• ResponseTransfer：响应传输时间

6.3 使用Timeline分析多个请求

Timeline视图提供了页面加载过程中所有请求的瀑布图，帮助识别性能瓶颈：

6.3.1 启用Timeline视图

1. 在Fiddler主菜单中，选择View > Timeline
2. Timeline面板将显示在会话列表下方
3. 清除所有会话（按Ctrl+X），然后访问要分析的网页

6.3.2 理解Timeline瀑布图

Timeline瀑布图水平显示每个请求的耗时：

• 黑色：DNS查找时间
• 蓝色：连接时间（TCP和SSL/TLS）
• 紫色：发送请求时间
• 绿色：等待服务器响应时间
• 红色：接收响应时间

水平轴表示时间（毫秒），垂直轴表示请求顺序。

6.3.3 识别Timeline中的性能问题

检查Timeline可能发现以下问题：

• 长时间DNS查找：黑色条较长，考虑使用DNS预取
• 重复连接：多个蓝色条，考虑使用持久连接
• 排队请求：请求没有并行处理，考虑使用域名分片或HTTP/2
• 慢服务器响应：绿色条较长，需要优化服务器处理
• 大文件下载：红色条较长，考虑压缩或优化资源
• 资源瀑布不合理：关键资源加载太晚，考虑调整加载顺序

6.4 使用SummaryView分析统计数据

SummaryView提供了会话集合的整体统计信息：

6.4.1 访问SummaryView

1. 在会话列表中选择要分析的会话（可以按Ctrl+A全选）
2. 右键点击，选择Summary
3. 或使用主菜单View > Show SummaryView

6.4.2 理解SummaryView数据

SummaryView提供以下统计信息：

• 请求和字节总数：总请求数、总字节数、平均大小
• 按MIME类型分类：不同类型资源（图片、脚本、样式表等）的分布
• 按状态码分类：不同HTTP状态码的分布
• 按协议分类：HTTP vs HTTPS的请求分布
• 按域名分类：不同域名的请求分布

6.5 模拟网络条件

Fiddler可以模拟各种网络条件，帮助测试应用在不同网络环境下的性能：

6.5.1 使用内置网络模拟

1. 在主菜单中，选择Rules > Performance > Simulate Modem Speeds
2. 或选择其他预设，如Rules > Performance > DSL/Cable

6.5.2 自定义网络延迟和带宽

1. 在主菜单中，选择Rules > Customize Rules...
2. 找到OnBeforeRequest函数
3. 添加以下代码来模拟延迟：

if (m_SimulateModem) {
    // 为所有请求添加延迟
    oSession["request-trickle-delay"] = "300"; // 300ms延迟
    // 限制上传速度
    oSession["request-trickle-delay"] = "56000"; // 56kbps上传速度
}

4. 找到OnBeforeResponse函数
5. 添加以下代码来模拟下载限制：

if (m_SimulateModem) {
    // 限制下载速度
    oSession["response-trickle-delay"] = "28000"; // 28kbps下载速度
}

6.6 性能优化建议

基于Fiddler分析，以下是常见的Web性能优化建议：

6.6.1 减少请求数量

• 合并资源：合并多个JavaScript或CSS文件
• 使用CSS Sprites：将多个小图标合并为一个图像
• 内联小资源：将小型CSS或JavaScript内联到HTML中
• 使用字体图标：用字体图标替代图片图标

6.6.2 减少资源大小

• 启用Gzip/Brotli压缩：确保文本资源使用压缩
• 优化图像：使用适当的图像格式和压缩级别
• 缩小（Minify）代码：移除JavaScript和CSS中的空白和注释
• 使用现代图像格式：使用WebP或AVIF等高效格式

6.6.3 优化资源加载

• 使用浏览器缓存：设置适当的Cache-Control和Expires头
• 实现CDN：使用内容分发网络减少延迟
• 延迟加载：非关键资源使用延迟加载
• 预加载关键资源：使用<link rel="preload">预加载关键资源
• 使用HTTP/2：多路复用减少连接开销

6.6.4 减少阻塞时间

• 异步加载脚本：使用async或defer属性
• 将CSS放在头部：避免无样式内容闪烁
• 将JavaScript放在底部：减少阻塞渲染
• 优化关键渲染路径：确保最快的视觉完成时间

6.7 实际性能分析案例

下面是一个完整的性能分析和优化案例：

6.7.1 初始分析

1. 清除Fiddler会话列表（Ctrl+X）
2. 启用Timeline视图（View > Timeline）
3. 访问目标网站
4. 等待页面完全加载
5. 分析Timeline瀑布图和SummaryView数据

6.7.2 识别问题

通过分析，找出以下潜在问题：

• 大量小图片请求，增加了HTTP请求数
• 未压缩的JavaScript和CSS文件
• 阻塞渲染的第三方脚本
• 多个重定向链
• 缺少浏览器缓存设置

6.7.3 实施优化

基于分析结果，实施以下优化：

1. 创建CSS Sprites并减少图像请求数
2. 配置服务器启用Gzip压缩
3. 使用async属性加载非关键第三方脚本
4. 消除重定向链
5. 设置适当的Cache-Control头

6.7.4 验证优化效果

1. 清除浏览器缓存和Fiddler会话列表
2. 再次访问目标网站
3. 比较优化前后的Timeline和统计数据
4. 记录改进情况：请求数减少、总下载大小减少、加载时间缩短

7. 常见应用场景

Fiddler在各种Web开发和测试场景中都非常有用。本章将介绍一些常见的应用场景，并提供相应的解决方案。

7.1 移动应用测试

Fiddler可以捕获移动设备的网络流量，帮助测试应用在不同网络环境下的性能和兼容性。

7.1.1 捕获移动设备流量

使用Fiddler捕获移动设备的网络流量，可以分析请求和响应，确保应用在不同网络条件下的正常运行。

7.1.2 模拟移动网络条件

Fiddler可以模拟各种移动网络条件，帮助测试应用在不同网络环境下的性能。

7.2 安全测试

Fiddler可以检查敏感数据传输，帮助确保应用的安全性。

7.2.1 检查敏感数据传输

使用Fiddler检查敏感数据传输，确保数据在传输过程中不被泄露。

7.2.2 修改请求进行安全测试

Fiddler允许您修改请求，进行安全测试，确保应用在不同安全环境下的安全性。

7.3 性能优化

Fiddler可以帮助识别性能瓶颈和优化机会，帮助提升应用性能。

7.3.1 分析性能指标

使用Fiddler分析关键性能指标，如DNS查找时间、TCP连接时间、TLS握手时间等。

7.3.2 使用Timeline视图

Timeline视图提供了页面加载过程中所有请求的瀑布图，帮助识别性能瓶颈。

7.3.3 使用SummaryView

SummaryView提供了会话集合的整体统计信息，帮助分析性能瓶颈。

7.4 接口测试

Fiddler可以测试REST API端点，无需使用专用工具。

7.4.1 捕获API请求

使用Fiddler捕获API请求，可以分析请求和响应，确保API的正常运行。

7.4.2 测试API返回的数据格式

Fiddler可以测试API返回的数据格式，确保API返回的数据符合预期。

7.5 网络故障排查

Fiddler可以帮助定位和解决网络通信问题。

7.5.1 捕获网络流量

使用Fiddler捕获网络流量，可以分析请求和响应，确保网络通信的正常运行。

7.5.2 设置断点

Fiddler的断点功能允许您在请求发送前或响应返回前暂停并修改内容，帮助定位网络通信问题。

7.6 性能分析和优化

Fiddler可以帮助分析和优化网站加载性能。

7.6.1 使用Timeline视图

Timeline视图提供了页面加载过程中所有请求的瀑布图，帮助识别性能瓶颈。

7.6.2 使用SummaryView

SummaryView提供了会话集合的整体统计信息，帮助分析性能瓶颈。

7.6.3 模拟网络条件

Fiddler可以模拟各种网络条件，帮助测试应用在不同网络环境下的性能。

7.6.4 性能优化建议

基于Fiddler分析，以下是常见的Web性能优化建议：

7.6.4.1 减少请求数量

合并资源、使用CSS Sprites、内联小资源、使用字体图标等方法可以减少请求数量。

7.6.4.2 减少资源大小

启用Gzip/Brotli压缩、优化图像、缩小代码、使用现代图像格式等方法可以减少资源大小。

7.6.4.3 优化资源加载

使用浏览器缓存、实现CDN、延迟加载、预加载关键资源、使用HTTP/2等方法可以优化资源加载。

7.6.4.4 减少阻塞时间

异步加载脚本、将CSS放在头部、将JavaScript放在底部、优化关键渲染路径等方法可以减少阻塞时间。

7.7 实际性能分析案例

下面是一个完整的性能分析和优化案例：

7.7.1 初始分析

清除Fiddler会话列表（Ctrl+X），启用Timeline视图（View > Timeline），访问目标网站，等待页面完全加载，分析Timeline瀑布图和SummaryView数据。

7.7.2 识别问题

通过分析，找出以下潜在问题：大量小图片请求、未压缩的JavaScript和CSS文件、阻塞渲染的第三方脚本、多个重定向链、缺少浏览器缓存设置。

7.7.3 实施优化

基于分析结果，实施以下优化：创建CSS Sprites并减少图像请求数、配置服务器启用Gzip压缩、使用async属性加载非关键第三方脚本、消除重定向链、设置适当的Cache-Control头。

7.7.4 验证优化效果

清除浏览器缓存和Fiddler会话列表，再次访问目标网站，比较优化前后的Timeline和统计数据，记录改进情况：请求数减少、总下载大小减少、加载时间缩短。