1.https不是在请求和响应的时候的数据传输是进行加密的,被挟持了也无法解密,那为啥有些https fiddler可以抓包到,并且可以看到明文数据?有些https又抓包不到?
2.https不是请求的时候需要进行证书的验证,那为啥我直接写程序去发送get请求https也可以请求成功,而且可以获得明文数据
1: 可以参考ssl的中间人攻击,fiddler伪造安全证书骗过浏览器。
或者浏览器支持把随机密钥写到一个文件里,然后fiddler读取密钥进行解密。
2:互联网的https多为单向难证,服务器不会难客户端的证书。
请参考:为什么站点使用https加密之后还能看到相关数据 http://www.wosign.com/News/2016-0126-01.htm