问题：小米手机抓包时无法捕获HTTPS流量，如何解决？

一、HTTPS抓包的基本概念与常见问题

在进行网络调试或应用分析时，开发者常会使用抓包工具（如 Charles、Fiddler 或 Wireshark）来捕获手机端的网络请求。这些工具通过设置本地代理服务器，将流量引导至抓包工具进行分析。然而，在使用小米手机进行 HTTPS 抓包时，开发者常常遇到无法捕获 HTTPS 流量的问题。

• 问题一：未正确安装抓包工具的CA证书
• 问题二：系统安全策略阻止了代理流量
• 问题三：应用自身启用了网络安全性配置（如Network Security Config），禁止明文流量或代理

这些问题通常会导致 HTTPS 请求被加密，无法被中间人（MITM）代理捕获。

二、抓包流程与原理简析

HTTPS 抓包的核心原理是“中间人攻击（MITM）”。抓包工具会生成一个自签名的 CA 证书，并作为代理服务器插入到客户端与服务器之间，解密并重新加密流量。

1. 客户端设置代理指向抓包工具
2. 抓包工具拦截 HTTPS 请求
3. 抓包工具生成伪造的服务器证书
4. 客户端需信任抓包工具的 CA 证书，否则连接失败

MITM 流程图如下：

三、小米手机HTTPS抓包失败的常见原因

小米手机由于其系统优化和安全策略，使得 HTTPS 抓包比原生 Android 更具挑战性。以下是几个常见的原因：

四、解决方法与操作步骤

针对上述问题，可以采取以下措施逐一排查和解决：

1. 配置WLAN代理

1. 进入 设置 > WLAN
2. 长按当前连接的Wi-Fi名称，选择 修改网络
3. 点击 高级选项
4. 设置代理为 手动，输入抓包工具所在电脑的IP地址和端口（如Charles默认端口8888）

2. 安装并信任抓包工具的CA证书

以 Charles 为例：

1. 在 Charles 中点击 Help > SSL Proxying > Install Charles Root Certificate on a Mobile Device
2. 在手机浏览器中访问 chls.pro/ssl
3. 下载并安装证书
4. 进入 设置 > 密码与安全 > 加密与凭据 > 安装的证书，确认证书已添加

3. 关闭系统安全功能

• 关闭 智能流量节省：设置 > 省电与电池 > 智能流量节省
• 关闭 安全DNS：设置 > 网络和互联网 > 高级 > 私人DNS

4. 启用强制HTTPS代理

1. 进入 设置 > 关于手机 > 开发者选项
2. 启用 强制使用HTTPS代理 选项

5. 修改应用的Network Security Config

如果目标应用使用了自定义的网络安全配置，需修改其 network_security_config.xml 文件：

<network-security-config>
    <domain-config>
        <domain includeSubdomains="true">example.com</domain>
        <trust-anchors>
            <certificates src="system" />
            <certificates src="user" />
        </trust-anchors>
    </domain-config>
</network-security-config>

该配置允许应用信任系统和用户安装的证书，便于抓包调试。