：拦截请求的那些软件，例如Fiddler，是怎么解码https内容的？

不用去关心这些解密/加密的过程，因为 Fiddler 自始至终就没有参与 “破解” 你的会话（请求），而是 Fiddler “冒充” 了，你与服务端进行通信，同时在服务端的视角里，Fiddler “冒充”了你，这就是常说的 中间人攻击(MITM)。

当你使用 Fiddler 时，必须要设置一个由 Fiddler 创建的代理，安装一个证书（对于 HTTPS 而言）。

这个代理的作用毋庸置疑就是用 Fiddler 来转发你的流量。但是证书就不一样了，Fiddler 为自己签发了一张根证书，并且引导你安装到了你的电脑中，现在 Fiddler ，就可以冒充成任意一个服务端（域名、甚至是 IP）。

现在当你发起一个请求时，实际上是你在请求 Fiddler。因为你安装了 Fiddler 签发的证书，所以 Fiddler 可以获取并解密你的请求。

然后 Fiddler 再把自己伪装成你，把你发送的参数再发给真正的服务端，这时候你可以把 Fiddler 就看成一个简单的 cURL 或者 Postman 都可以，他们只是一个请求的工具，他自然可以拿到响应，然后再顺带把响应发给你就行。

而确保 HTTPS 安全最重要的一环就是本地信任的根证书，不要轻易导入不被信任的根证书，因为他可以冒充任何人。

当然，也有预防手段，比如 SSL Pinning，但是浏览器内的网页不能使用，一般用于 App 中。

扩展阅读：

• 【web安全3】【硬核】HTTPS原理全解析

最后补充一个来自 ChatGPT 的解释吧。