android https正确调用方案（防中间人劫持）

以下内容为原创，欢迎转载，转载请注明

来自博客园：http://www.cnblogs.com/joey-hua/p/4971380.html

1.劫持https接口

很多android客户端虽然使用了https，但还是能被第三方抓包工具如fiddler劫持，因为他们的代码使用了诸如ALLOW_ALL_HOSTNAME_VERIFIER之类的方式允许任何证书。这样的话可以使用fiddler自带的证书伪装服务端证书来获取到中间通讯的数据。使用方法关键步骤：



下图是劫持的工商银行安卓版app数据：



红框的是工行的接口，蓝色文字表示抓到数据，具体数据就不发了，是我自己的账号。绿色框的是我自己的服务端的接口，因为做了处理所以没有被抓显示的是灰色文字。上图必须要用伪装证书，否则直接抓取同一个接口也抓不到的。

2.解决方案





【文档下载】