Rockxy

English | Tiếng Việt | 中文 | 日本語 | 한국어 | Français | Deutsch

Proxy de débogage HTTP open-source et auditable pour macOS.

Interceptez, inspectez et modifiez le trafic HTTP/HTTPS/WebSocket/GraphQL avec une app Swift native que vous pouvez inspecter, compiler et vérifier.
Une alternative local-first, AGPL-3.0 à Proxyman et Charles Proxy.

---

Latest Tagged Release

v0.23.0 — 2026-05-29

Added

• Added a more powerful advanced filter builder for narrowing traffic by URL, method, status, headers, body, app, domain, and other request or response fields.
• Added saved filter presets and inspector match highlighting so repeated investigations are faster to resume.
• Added upstream HTTP/HTTPS proxy support for routing captured traffic through another proxy when your network or lab setup requires it.
• Added Tools menu entries for external proxy settings, SOCKS proxy settings, Protobuf mappings, and Protobuf schema management.
• Added WebSocket Protobuf previews that make binary frame payloads easier to inspect as readable field trees.

Fixed

• Fixed bypass proxy handling during TLS setup so bypassed hosts avoid interception more reliably.
• Improved scripting stability so request and response scripts handle headers, console output, and runtime errors more reliably.
• Strengthened redaction for local integration exports so sensitive request and rule data stays protected.
• Improved HAR imports and content-type detection for better handling of modern JSON-style responses and imported sessions.
• Improved sidebar grouping cleanup when selected domain/app groups disappear, keeping active filters and sidebar state aligned.

Changed

• Refined multi-tab workspace behavior so tabs, selection, and window placement feel more predictable.
• Polished the proxy status indicator and workspace tab chrome for clearer capture state at a glance.

See CHANGELOG.md for the full release history.

Points forts de la branche actuelle

• Developer Setup Hub couvre désormais les runtimes, navigateurs, clients, appareils, frameworks et environnements avec des snippets ciblés, des watchers de validation et une documentation honnête.
• Quand le SSL Proxying est activé ou désactivé par domaine ou par application, l’invite HTTPS chiffrée, les actions de la barre latérale et la table principale restent synchronisées.
• L’inspecteur et la table principale ont été peaufinés avec des onglets défilants sur une seule ligne, un contenu Query aligné en haut, une meilleure séparation Status/Code, des colonnes Request/Response en octets, des correctifs de duration et des icônes SSL mises à jour en direct.

Fonctionnalités

Les outils que vous saisissez quand les DevTools du navigateur ne suffisent plus. Du débogage de trafic principal pour le travail Mac et iOS — natif macOS, avec des releases publiques et un flux local-first.

Capture du trafic

Inspectez le trafic HTTP, HTTPS, WebSocket et GraphQL depuis n'importe quelle application Mac, CLI ou appareil iOS. Les DevTools du navigateur s'arrêtent au navigateur — Rockxy voit le reste de votre stack.

HTTP / HTTPS · WebSocket · GraphQL · iOS Device & Simulator · Filter by Process ID · Timing Waterfall

Filtres et recherche avancés

Réduisez des milliers de requêtes capturées en quelques secondes. Combinez les filtres method, host, status, header, body et processus — ou lancez une recherche plein texte sur toute la session.

Multi-Field Filters · Full-Text Search · Status / Method · Header / Body Match · Process / Host · Saved Filters

Serveur MCP pour assistants IA

Laissez Claude Desktop ou Cursor lire votre trafic capturé via un serveur MCP local. Demandez "pourquoi cette requête a renvoyé 500 ?" au lieu de coller des headers dans le chat. Serveur MCP gratuit — pas de module IA payant, pas de plafond d'utilisation.

Claude Desktop · Cursor · Local stdio · Redaction · Open Source

Developer Setup Hub

Copiez-collez les snippets de proxy pour Python, Node.js, Go, Rust, cURL, Docker et les navigateurs, puis cliquez sur Run Test pour confirmer que le trafic passe réellement.

Python · Node.js · Go / Rust / Java · cURL / Docker · One-Click Verify · Trust Diagnostics

Gestion des certificats pour déboguer HTTPS

Un root CA P-256 ECDSA généré au premier lancement, scellé dans votre Keychain. Déchiffrez HTTPS du premier coup ; les hôtes épinglés sont automatiquement laissés en transit.

P-256 ECDSA Root CA · Keychain-Sealed Key · Per-Host Leaf Certs · Trust Wizard · Pinned-Host Passthrough · Rotate / Reset

SSL Proxy et déchiffrement HTTPS

Choisissez quels hôtes seront déchiffrés en TLS. Le trafic déchiffré révèle les vrais headers et JSON ; le reste passe chiffré. Les règles wildcard permettent de cibler un domaine en un clic.

Per-Host Decryption · Wildcard Rules · Allow / Deny List · TLS 1.2 / 1.3 · Pinned Host Passthrough

Bypass Proxy

Sautez certains hôtes pour que les applis à pinning de certificat, les services internes ou la télémétrie bruyante n'entrent jamais dans la capture. Les wildcards gardent la liste courte et le journal de requêtes concentré sur ce qui compte.

Per-Host Bypass · Wildcard Patterns · Skip Pinned Hosts · Mute Telemetry · Reduce Noise · Toggle Anytime

Block List

Faites échouer n'importe quel hôte. Coupez les régies pub, les trackers tiers ou une dépendance instable pour voir comment votre app se dégrade sans elle — sans changer une ligne de code.

Per-Host Block · Wildcard Match · Simulate Outage · Test Fallbacks · Strip Trackers · Toggle Anytime

Map Local

Servez un fichier enregistré ou une arborescence locale à la place d'une réponse en direct. Substituez un payload JSON, rejouez un snapshot ou épinglez une API tierce capricieuse sur une copie locale pendant le débogage.

File or Directory · Response Snapshot · Regex Patterns

Map Remote

Réécrivez la destination d'une requête capturée sans toucher au code de l'application ni à /etc/hosts. Pointez le trafic de prod vers staging, votre serveur de dév ou la machine d'un collègue pour reproduire un bug de manière fiable.

Host Rewrite · Regex Patterns · Preserve Host Header

Breakpoints et règles

Mettez une requête ou réponse en pause, modifiez method, headers, body ou status, puis continuez. Le moyen le plus rapide de tester "et si l'API renvoie 401 ?" sans toucher au backend.

Request Breakpoints · Response Breakpoints · Block · Throttle · Regex / Wildcard Match · Inject Failure States

Modifier les headers

Ajoutez, supprimez ou remplacez des headers sur n'importe quel hôte sans redéployer. Testez CORS, l'auth ou les changements de cache en quelques secondes grâce aux presets intégrés.

Add / Remove / Replace · CORS Presets · Auth Stripping · Request Phase · Response Phase · URL Pattern Scope

Headers de requête et de réponse personnalisés

Surchargez les headers par hôte avec un contrôle total sur les deux phases. Injectez des tokens d'auth sur les requêtes sortantes, supprimez Set-Cookie sur les réponses ou figez un User-Agent personnalisé — le tout sauvegardé en règles nommées activables à tout moment.

Per-Host Override · Request Phase · Response Phase · Auth Token Inject · Cookie Strip · Named Rules

Conditions réseau

Bridez en 3G, EDGE, LTE, WiFi ou avec un délai personnalisé. Votre laptop est en fibre ; vos utilisateurs non — voyez l'UX à 400 ms de RTT avant eux.

3G · EDGE · LTE · WiFi · Very Bad Network · Custom Latency

Compose — Éditer et rejouer

Reconstruisez n'importe quelle requête HTTP capturée — changez method, URL, headers, query params ou body — et renvoyez-la sans quitter Rockxy. Plus de boucle copier-coller vers Postman, Insomnia ou curl. Itérez sur des prompts LLM, fuzzez des limites d'auth ou reproduisez un cas qui échoue pour OpenAI, Anthropic et Cohere en quelques secondes.

Edit Headers · Edit Body · Edit Query · Edit Method · LLM Prompt Iteration · Postman Alternative · OAuth Flow Debug · Webhook Replay

Comparer

Empilez deux réponses capturées côte à côte et repérez chaque champ qui a basculé — status, headers, clés JSON, octets du body. Attrapez les régressions API silencieuses, les sorties LLM non déterministes et la dérive de prompt sans pousser quoi que ce soit vers un outil tiers. Le diff côte à côte met en évidence ce qui change ; la comparaison JSON profonde ignore l'ordre des clés.

Diff Compare · Side-by-Side · JSON Diff · Header Diff · Body Diff · LLM Output Compare · Non-determinism · API Regression · Schema Drift

Onglets de prévisualisation personnalisés

Rendez les bodies de requête et de réponse comme vous le souhaitez. Épinglez des onglets supplémentaires dans l'inspecteur pour JSON, GraphQL, JWT, image ou votre propre format — réutilisables sur chaque requête capturée.

JSON · GraphQL · JWT Decoder · Image / Hex · Custom Format · Pinned per Inspector

Sessions et export

Sauvegardez des sessions, importez/exportez du HAR pour le passage d'un outil à l'autre, copiez n'importe quelle requête en cURL ou JSON. Redactez les headers d'authorization, cookies et bearer tokens avant partage — donnez à un collègue un repro de bug fonctionnel sans fuiter de secrets.

.rockxysession · HAR Import / Export · Copy as cURL · Copy as JSON · Raw HTTP · Secret Redaction · Token Sanitize · Privacy-Safe Share

Espaces de travail multi-onglets

Lancez des sessions de capture indépendantes côte à côte — un onglet pour staging, un pour la prod, un pour le build iOS. Chaque onglet conserve ses propres filtres, sélection et état d'inspecteur, donc le changement de contexte ne coûte rien.

Independent Sessions · Per-Tab Filters · Per-Tab Inspector · Compare Environments · Mac & iOS Together · Detach & Rename

Scripting JavaScript

Hooks JS sur les requêtes et réponses pour les cas qu'une règle statique ne couvre pas — redacter les PII, signer des tokens, réécrire des payloads. Les erreurs apparaissent inline au lieu de corrompre le trafic.

Request Hooks · Response Hooks · Programmatic Filtering · PII Redaction · Inline Error Feedback

Partage et collaboration en équipe Bientôt disponible

Envoyez une session capturée à un collègue d'un seul clic. Annotez les requêtes en échec en inline, voyez qui regarde quoi en temps réel et faites du pair-debug HTTPS sans partage d'écran. Ciblé pour une release future.

Shared Sessions · Team Workspaces · Inline Comments · Live Cursor · Cloud Sync · Pair Debug · SSO · Audit Log

100 % natif macOS. Pas d'Electron. Pas de vues web. SwiftUI + AppKit + SwiftNIO.

Démarrage rapide

git clone https://github.com/RockxyApp/Rockxy.git
cd Rockxy
open Rockxy.xcodeproj

Compilez et exécutez dans Xcode. La fenêtre de bienvenue vous guide à travers la configuration du CA racine, l'installation du helper et l'activation du proxy.

Prérequis : macOS 14.0+, Xcode 16+, Swift 5.9

Rockxy vs. Alternatives

	Rockxy	Proxyman	Charles Proxy
Modèle de projet	Projet open-source AGPL-3.0	App commerciale propriétaire	App commerciale propriétaire
Code source	Public, auditable, forkable	Source fermée	Source fermée
Compilation depuis la source	Gratuite avec Xcode depuis ce repo	Non disponible depuis une source publique	Non disponible depuis une source publique
Base native macOS	Swift + SwiftNIO + SwiftUI/AppKit	App commerciale native macOS	App commerciale multiplateforme
Capture local-first	Proxy local, certificats, helper et données de capture restent sur votre Mac	App proxy desktop	App proxy desktop
Workflow de setup développeur	Developer Setup Hub intégré pour runtimes, clients, appareils, frameworks et environnements	Guides de setup propres au produit	Guides de setup propres au produit
MCP/local automation bridge	Intégré, authentifié par token, masquage par défaut	Non revendiqué dans les docs publiques consultées	Non revendiqué dans les docs publiques consultées
Chemin de contribution ouvert	Issues, discussions, roadmap et PRs publics	Produit contrôlé par le fournisseur	Produit contrôlé par le fournisseur

Sur la feuille de route : workflows replay/diff/rules/scripting plus profonds, inspection WebSocket et GraphQL améliorée, et exploration du support gRPC/Protobuf ainsi que HTTP/2 et HTTP/3.

Sécurité

Rockxy intercepte le trafic réseau — la sécurité est fondamentale, pas optionnelle.

• Le helper XPC valide les appelants par comparaison de chaîne de certificats, pas seulement par bundle ID
• Les plugins s'exécutent dans un JavaScriptCore isolé avec un timeout de 5 secondes, sans accès au système de fichiers ni au réseau
• Validation des entrées sur toutes les frontières — limites de taille des body, limites d'URI, protection contre le DoS regex, prévention du path traversal
• Les identifiants sont automatiquement masqués dans les logs
• Les fichiers sensibles sont stockés avec des permissions 0o600

Signaler les vulnérabilités via SECURITY.md. Voir l'architecture de sécurité complète pour plus de détails.

Feuille de route

La feuille de route publique de Rockxy est orientée workflows et sans dates promises. Elle se concentre sur la fiabilité, l'UX macOS native, les workflows de débogage, les protocoles, la documentation et l'accueil des contributeurs.

• ROADMAP.md : direction d'ingénierie publique de haut niveau
• Rockxy Public Roadmap : visibilité opérationnelle des issues suivies dans la feuille de route

Documentation

Documentation complète disponible sur Rockxy Docs :

• Guide de démarrage rapide — opérationnel en quelques minutes
• Developer Setup Hub — snippets runtime, guides appareil, sondes de validation et matrice de support
• Architecture — moteur proxy, modèle Actor, flux de données
• Modèle de sécurité — frontières de confiance, validation XPC, gestion des certificats
• Décisions de conception — pourquoi SwiftNIO, NSTableView, les Actors
• Compiler depuis les sources — compilation, tests, lint et débogage
• Style de code — SwiftLint, SwiftFormat et conventions
• Changelog — travaux non publiés et historique des versions taguées

Contribuer

Toutes les contributions sont les bienvenues — code, tests, documentation, rapports de bugs et retours UX.

Consultez CONTRIBUTING.md pour les instructions de configuration, le style de code et la checklist PR complète.

Les issues pour débutants sont étiquetées good first issue. En soumettant une PR, vous acceptez le CLA.

Sponsors et Partenaires

Rockxy est construit et maintenu par des développeurs indépendants. Les sponsorisations financent le développement continu, les audits de sécurité et les nouvelles fonctionnalités.

Niveau	Avantages
Gold Sponsor	Logo sur le README + site de docs, demandes de fonctionnalités prioritaires, canal de support dédié
Silver Sponsor	Logo sur le README, remerciements dans les notes de version
Bronze Sponsor	Remerciements dans le README et la documentation
Partner	Co-développement, support d'intégration, accès anticipé aux fonctionnalités à venir

Demandes de partenariat — entreprises d'outils de développement, sociétés de sécurité et équipes entreprise cherchant des intégrations personnalisées ou des solutions en marque blanche : rockxyapp@gmail.com

Support

• GitHub Sponsors — soutenir le développement de Rockxy
• GitHub Issues — rapports de bugs et demandes de fonctionnalités
• GitHub Discussions — questions et discussions communautaires
• Email — rockxyapp@gmail.com
• Problèmes de sécurité — voir SECURITY.md pour la divulgation responsable

Licence

GNU Affero General Public License v3.0 — Copyright 2024–2026 Rockxy Contributors.

Historique des Étoiles

---

_{Made by Stephen. Construit avec Swift, SwiftNIO, SwiftUI et AppKit.}