在 Web 页面抓取接口(API)通常是做接口调试、自动化测试或逆向分析的一部分,常见方法如下:
方法一:浏览器开发者工具(最常用)
操作步骤(Chrome / Edge):
- 打开目标网页
- 按 F12 打开开发者工具
- 切换到 Network(网络) 标签
- 刷新页面(很关键)
- 过滤接口类型:
- 选择 XHR / Fetch(接口请求)
- 点击某个请求查看详情:
重点看:
- Request URL → 接口地址
- Request Method → GET / POST
- Headers → 请求头(含 token、cookie)
- Payload / Request Body → 请求参数
- Response → 返回数据
👉 你就能拿到完整接口信息
方法二:复制接口请求
在 Network 里:
- 右键某条接口 → Copy → Copy as cURL
然后你可以:
- 用 Postman 导入
- 转换成 Python / Java / JS 请求
例如转换为 Python:
curl 'https://api.example.com/data' \
-H 'Authorization: Bearer xxx'
方法三:抓包工具(更强)
适用于:
- APP(iOS / Android)
- 加密接口
- HTTPS 深度分析
常用工具:
- Fiddler
- Charles
- Burp Suite
👉 做法:
- 配置代理
- 手机/浏览器走代理
- 抓取所有请求
方法四:查看 JS 代码(接口源头)
有时候接口是动态生成:
步骤:
- 打开 Sources / Debugger
- 搜索关键词(如
/api/、fetch、axios) - 找到调用代码
示例:
axios.post('/api/login', data)
可以找到隐藏接口或参数构造逻辑
方法五:自动化抓取(适合QA/爬虫)
用代码直接抓接口:
Python 示例:
import requests
url = "https://api.example.com/data"
headers = {
"Authorization": "Bearer xxx"
}
res = requests.get(url, headers=headers)
print(res.json())
``
常见注意点(QA很重要)
1. 登录态
接口通常需要:
- token
- cookie
- session
从浏览器 Headers 复制
🔁 2. 参数动态
例如:
- timestamp
- sign(加密签名)
要从 JS 逻辑里分析
3. 防爬 / 限制
- 验证码
- 频率限制
- IP 限制
QA角度总结
作为 QA Engineer(你这个角色很匹配),抓接口主要用于:
- 接口自动化(API Testing)
- Mock 数据
- 定位问题(前端 vs 后端)
- 回归测试