Fiddler常用功能

1、抓取浏览器、app发送的接口数据，服务进行接口测试脚本开发

2、web界面性能测试，通过Fiddller中的Stastics可以查看每个HTTP请求的响应时间

3、Fiddler设置断点：

1）QuickExec

 添加请求断点：bpu [www.baidu.com](http://www.baidu.com)

 删除请求断点：bpu

 添加响应断点：bpafter [www.baidu.com](http://www.baidu.com)

 删除响应断点：bpafter

4、查看web服务器是否使用缓存

5、Fidddler保存抓取的会话

File->Save->Selected Sessions

6、过滤会话：

 Filters->Use Filters

7、CustomRules.js

 1)OnBeforeRequest(oSession:Session)

 修改请求头：

 oSession.oRequest.headers.Remove(“Cookie”)//删除header中的cookie

 oSession.oRequest.headers.Add(“Cookie”)//向header中添加cookie

 Var cookie oSession.oRequest[“cookie”] //获取header中cookie的值赋值给变量

 newCookie=cookie.Replace(“”,””)//替换cookies字段值

 oSession.oRequest[“cookie”]=newCookie//将改变后的内容赋值给header中

 修改url

 oSession.hostname=“[www.baidu.com](http://www.baidu.com)”

 修改body：

 oSession.utilDecodeRequest()

 Var strBody=oSession.GetRequestBodyAsString();//读取body中的内容

 strBody=strBody.replace(“111”,”222”)

 oSession.utilSetRequestBody(strBody)

 oSession.utilReplaceInRequest(“111”,”222”)           

 2)OnBeforeResponse(oSession:Session)

 oSession.utilReplaceInResponse(“111”,”222”)

3)查看登陆相关的cookies，并查看是否设置成HttpOnly（可防止XSS攻击），设置成该项后js脚本将无法获取cookies信息。

跨站脚本攻击（XSS），是最普遍的Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中，当正常用户访问该页面时，则可导致嵌入的恶意脚本代码的执行，从而达到恶意攻击用户的目的。

4)RulesStringValue()定制菜单，可以把经常使用的操作定义成一个菜单

 5）oSession.HostnameIs(“[www.baidu.com](http://www.baidu.com)”)//判断hostname

 6）oSession.uriContains(“[baidu.com](http://baidu.com)”)判断hostname