androidhttp包

‘壹’ 在android studio中使用httpget需要导入什么包

导入xUtilsjar包，导入的同时还要导入阿帕奇包，名字如下：org.apache.http.legacy导入Gson包写代码，代码可以写在activity的onCreate里如下：HttpUtilshttp=newHttpUtils();http.send(HttpRequest.HttpMethod.GET,"",//这里写您需要访问的网络地址newRequestCallBack(){@OverridepublicvoidonLoading(longtotal,longcurrent,booleanisUploading){}@OverridepublicvoidonSuccess(ResponseInforesponseInfo){//responseInfo就可以携带回来的值，这里可以用gson解析Gsongson=newGson();类类名=gson.fromJson(类名.class,responseInfo);Log.i("value"，类名.toString());}@OverridepublicvoidonStart(){}@OverridepublicvoidonFailure(HttpExceptionerror,Stringmsg){}});有什么不对的地方望指正，这几个包网上都有，如果没找到联系我就行

‘贰’ 什么工具可以获取android应用的HTTP数据包

可使用轻量级抓包工具Fidder。具体操作如下：

第一步：下载神器Fiddler,下载链接：
http://fiddler2.com/get-fiddler

下载完成之后，进行安装！

第二步：设置Fiddler

打开Fiddler,Tools-> Fiddler Options (配置完后记得要重启Fiddler)
选中"Decrpt HTTPS traffic", Fiddler就可以截获HTTPS请求
选中"Allow remote computers to connect". 是允许别的机器把HTTP/HTTPS请求发送到Fiddler上来

记住这个端口号是:8888

第三步：设置Android手机

首先获取PC的ip地址：命令行中输入:ipconfig,获取ip地址
记录IP地址和端口号
下面来对Android手机进行代理设置：
确定手机和PC是连接在同一个局域网中，进入手机的设置->点击进入WLAN设置->选择连接到的无线网，长按弹出选项框，选择修改网络配置，选择显示高级选项，将代理设置成手动，将上面获取到的ip地址和端口号填入，点击保存。这样就将我们的手机设置成功了。

第四步：下载Fiddler的安全证书
使用Android手机的浏览器打开：http://10.2.145.187:8888， 点"FiddlerRoot certificate" 然后安装证书。到这里我们就设置好所有的值了。

第五步：打开Android手机中的应用，即可进行Fiddler抓包，PC端将完整显示出抓包结果。这样就抓取Android移动端的数据包成功了。

‘叁’ 使用Charles对Android 进行HTTP抓包

 官方介绍：Charles让开发者能够直观地浏览机器客户端和互联网之间的通信数据，包括客户端发送的请求数据、服务端返回的响应数据以及HTTP头部。

 除了官方介绍，对于Android开发来说，Charles还有一个非常实用的功能。Charles能将某个接口的服务端响应数据保存到本地电脑上，然后将请求映射到本地，下次再请求这个接口时，手机端收到的response就是已经保存在本地的数据。而我们可以随意修改本地数据，也就是说，可以让客户端接收到任意我们想给的数据。

配置好网络代理才能让手机端的请求被Charles捕获到。

 配置好了之后，就能在Charles看到手机端与服务器之间的数据交互了。在Request中能看到手机端发送的请求数据，在Response中能看到服务端返回给手机的数据。

也就是上面说的请求映射，使用方法：

 然后，下次手机再请求这个接口时，返回的就是本地Response里的数据了。这时候就可以愉快地修改本地Response数据，想要返回什么数据就有什么数据。

‘肆’ eclipse httpclient4.jar 冲突 怎么忽略android自带的http包

一般jar包之间的冲突大多只能是版本见得冲突。当你搭建完ssh框架之后，应该检查加进来的jar包。有版本冲突的就删掉。当我们加入spring和struts2的Jar时可能会有commons-logging-1.1.jar,commons-logging-1.1.1.jar的冲突，删除低版本的即可。不过struts和hibernate之间的jar包冲突很少见，大概没有吧。

‘伍’ 如何抓取 android app 的 http 请求

两种方式：
1. android机器本身用tcpmp，然后cap文件用wireshark查看；
2. android机器设置一个代理到抓包工具的端口。

‘陆’ Android面试笔记——HTTP/HTTPS

HTTP和HTTPS是面试常问的问题，内容比较多而且复杂，HTTPS里面的细节很多，本文只是把主要的东西写出来，想要弄懂HTTPS还是要多看几篇博文，自己动手走一遍把各个攻击的case搞明白。

HTTP 是超⽂本传输协议，也就是HyperText Transfer Protocol。

Host 字段 ：客户端发送请求时，⽤来指定服务器的域名。 Host: www..com

Content-Length 字段 ：服务器在返回数据时，会有 Content-Length 字段，表明本次回应的数据长度。 Content-Length: 1000

Connection 字段 ：Connection 字段最常用于客户端要求服务器使⽤ TCP 持久连接，以便其他请求复⽤。 HTTP/1.1 版本的默认连接都是持久连接，但为了兼容⽼版本的 HTTP，需要指定 Connection ⾸部字段的值为Keep-Alive 。

Content-Type 字段 ：Content-Type 字段⽤于服务器回应时，告诉客户端，本次数据是什么格式 。 Content-Type: text/html; charset=utf-8

Content-Encoding 字段 ：Content-Encoding 字段说明数据的压缩⽅法。表示服务器返回的数据使用了什么压缩格式 。客户端在请求时，⽤ Accept-Encoding 字段说明自己可以接受哪些压缩⽅法。 Accept-Encoding: gzip, deflate

下图为访问网络的返回字段

HTTP/2 协议是基于 HTTPS 的，所以 HTTP/2 的安全性也是有保障的。

这都是基于 TCP 传输层的问题，所以 HTTP/3 把 HTTP 下层的 TCP 协议改成了 UDP 。

UDP 发生是不管顺序，也不管丢包的，所以不会出现 HTTP/1.1 的队头阻塞 和 HTTP/2 的⼀个丢包全部重传问题。

UDP 是不可靠传输的，但基于 UDP 的 QUIC 协议 可以实现类似 TCP 的可靠性传输。

HTTPS 采⽤的是 对称加密和⾮对称加密结合 的“混合加密”⽅式：

采⽤“混合加密”的⽅式的原因：

摘要算法⽤来实现 完整性 ，能够为数据⽣成独⼀⽆⼆的“指纹”，⽤于校验数据的完整性，解决了篡改的⻛险。

客户端在发送明⽂之前会通过摘要算法算出明文的“指纹”，发送的时候把“指纹 + 明文”⼀同加密成密文后，发送给服务器，服务器解密后，用相同的摘要算法算出发送过来的明文，通过⽐较客户端携带的“指纹”和当前算出的“指纹”做⽐较，若“指纹”相同，说明数据是完整的。

客户端先向服务器端索要公钥，然后⽤公钥加密信息，服务器收到密文后，⽤⾃⼰的私钥解密。这就存在些问题，如何保证公钥不被篡改和信任度？

所以这⾥就需要借助第三⽅权威机构 CA （数字证书认证机构），将服务器公钥放在数字证书（由数字证书认证机构颁发）中，只要证书是可信的，公钥就是可信的。

通过数字证书的⽅式保证服务器公钥的身份，解决冒充的⻛险 。

证书签名和验证过程 ：

两种情况 ：

‘柒’ android如何过滤http请求

Android客户端捕获http请求包的方法
对于Web测试，我们可以很容易的抓取到相关的http请求包，不用什么专业软件，甚至浏览器都能帮我们完成这个功能，拿到需要的http请求连接 。
http连接对于测试同学来说， 不论做功能、性能或是安全，都是非常重要的， 他过滤了前台的因素，让测试同学直接能对后台进行交互。
以上是http连接的重要性，基本等于废话，下面是正题。
客户端安全测试，同样需要拿到http的请求包，由于客户端的前段限制绕过比较麻烦，那么在做安全测试的过程中，直接拿到http的请求包显得更外重要。
有如下方法可以拿到请求的http包：
1、在不配置代理的情况下，对Android客户端（模拟器）的数据我们可以使用wireshark或者etherpeek等网络层抓包软件抓取，模拟器本身的数据交互是通过电脑主机的网卡进行的，所以我们通过抓包软件抓取主机网卡的数据包，经过过滤，便可得到模拟器客户端中的数据包，类似这样：

访问之后，通过wireshark过滤http请求，便可找到我们刚刚发送的请求。
当然，这是种比较麻烦的方法，不过可以更确切的看到网络包发送的内容。
另一种办法是对模拟器配置代理，让所有请求包可以通过外部主机的七层抓包软件，例如fiddler ，burpsuite等所捕获到，配置代理需要先做一次设置：类似这样：

进 入“设置”选项之后，按照图示设置

这里proxy 设置为10.0.2.2是android模拟器对外部主机地址的硬编码，端口设为8888是外部主机fiddler 的监听地址，当然，如果是burpsuite 可以设置为8080。

‘捌’ Android 网络安全：如何避免 Okhttp 的 HTTPS 请求被抓包

在我的上一篇 文章 中介绍了如何实现 HTTPS 抓包，这篇文章解决如何避免HTTPS 抓包。

Android 逆向工程：Charles + Android 实现 HTTPS 抓包

如果我们APP的API请求只使用了 HTTP，这个实在太容易被抓包了，我们的请求信息很容易就暴露，可能会被用来做不利于APP的事情。为了APP的请求安全，我们有必要改用HTTPS，用来保障我们的请求安全。但是使用HTTPS并不就代表我们的请求就是安全的了，因为还是可以实现抓包，接下来介绍如何通过杜绝 OkHttp 的 HTTPS 被抓包。

杜绝 HTTPS 抓包的原理很简单，其实就是拦截非法的证书，只通过我们信任的 HTTPS 证书的请求。

GeneralHostnameVerifier.java

如果是直接 new OkHttpClient() 是可以抓包，如果 OkHttpClient okHttpClient = builder.build(); 就会提示证书验证错误。

‘玖’ 如何在Android应用里对HTTP请求头部添加适当的User-Agent字段

目前android提供的工具没事，我们写工程都是自己写http请求，每次请求的时候打Log，记录请求的url和参数。请求回来了，打log，记录回来的数据，记录数据的状态，数据的内容。 目前只能这样。如果用模拟器的话，可以用vnStat或者CommView之类的监控电脑网卡的请求，间接的监控手机。一般开发用手机测试，这样就不行了。只能打log了

‘拾’ android httpget 引用哪个包

import org.apache.http.client.ResponseHandler;
import org.apache.http.client.methods.HttpGet;
import org.apache.http.impl.client.BasicResponseHandler;
import org.apache.http.impl.client.DefaultHttpClient;