Api Tester

核心用法

api-tester 是一款轻量级 HTTP 请求工具，专为 OpenClaw 环境设计，无需额外依赖即可执行结构化网络请求。通过 require('skills/api-tester') 调用，使用 api.request(method, url, headers?, body?) 发起请求，支持 GET、POST、PUT、DELETE 四种标准 HTTP 方法。

请求返回统一格式的 Promise 对象，包含 status（状态码）、headers（响应头）、data（自动解析的 JSON 或原始字符串）、raw（原始响应体）及 error（网络错误信息）。开发者可快速进行 API 健康检查、端点调试或与 REST 服务交互，无需手写 URL 编码或手动处理响应解析。

显著优点

• 零依赖架构：完全基于 Node.js 原生 http/https 模块，避免 npm 依赖链风险，部署轻量化
• 智能 JSON 处理：自动识别 Content-Type 完成请求体序列化与响应体反序列化，减少样板代码
• 安全容错设计：网络错误以结构化对象返回而非抛出异常，保障调用链稳定性
• 配置友好：默认 10 秒超时保护，防止请求挂死；自定义 headers 支持 Bearer Token 等鉴权场景

潜在局限

• 功能精简：不支持请求重试、并发控制、流式传输或 WebSocket，复杂场景需配合其他工具
• 调试信息有限：不内置请求日志或详细耗时追踪，问题排查依赖外部监控
• 无代理支持：文档未提及 HTTP/HTTPS 代理配置，企业内网环境可能受限
• 证书验证：未说明 SSL/TLS 证书校验策略，自签名证书场景行为待验证

适合人群

• 需要快速验证 API 端点的后端开发者
• 构建健康检查脚本的 DevOps 工程师
• 编写轻量级数据同步任务的自动化场景用户
• 追求最小依赖的嵌入式/边缘计算环境开发者

常规风险

• 敏感信息泄露：Token、密钥等鉴权信息需硬编码或经环境变量注入，避免提交至版本控制
• 目标地址风险：请求恶意或未经验证的第三方 API 可能导致数据外泄或 SSRF 攻击
• 超时配置不当：默认 10 秒超时在慢网络或大响应体场景下可能触发误判，需按需调整
• 响应体处理：自动 JSON 解析失败时回落为原始字符串，业务逻辑需做好类型校验

核心用法

api-tester 是一个基于 Node.js 内置 http/https 模块的轻量级 HTTP 客户端，无需任何第三方依赖。通过 api.request(method, url, headers?, body?) 即可发起标准 REST 请求，支持自动 JSON 序列化与解析、自定义请求头、以及 10 秒默认超时控制。

典型应用场景

• API 开发与调试：快速验证端点响应、状态码及数据结构
• 服务健康监控：定时探测关键服务可用性
• 自动化测试脚本：集成到 CI/CD 流程中进行接口回归测试
• Webhook 调试：模拟回调请求验证接收端逻辑

显著优点

| 特性 | 说明 |

|------|------|

零依赖架构 | 纯原生模块实现，无供应链攻击风险，安装体积极小 |

| **安全执行模式** | 网络异常返回结构化错误对象而非抛出，避免流程中断 |

| **开发友好** | Promise 异步接口、自动 JSON 处理、完整的响应元数据（status/headers/data/raw） |

潜在局限与风险

1. SSRF 攻击面：接受任意用户指定 URL，无内置白名单机制，可能被利用访问内网资源
2. 明文传输支持：功能上允许 http:// 请求，生产环境存在数据泄露隐患
3. 测试代码瑕疵：包含对 google.com 的外部访问测试，与"API Tester"定位关联性弱
4. 无高级功能：缺少重试机制、请求拦截器、证书校验自定义等企业级特性

适合人群

• 需要快速、无依赖 HTTP 请求的脚本开发者
• 构建内部工具或原型验证的工程师
• 对供应链安全敏感、希望最小化依赖的团队

常规风险提示

• 始终优先使用 HTTPS，避免在明文通道传输敏感数据
• 对用户输入的 URL 进行校验，防范 SSRF 攻击
• 建议在受控网络环境中运行，避免直接暴露于不可信输入