10、XCTF xff_referer[通俗易懂]-ffrrrr

10、XCTF xff_referer[通俗易懂]X老师告诉小宁其实xff和referer是可以伪造的。拦截数据包，修改数据包。X-Forwarded-For:123.123.123.123这个必须加在http的请求头。得到：必须来自https://www.google.com再在请求头加上Referer:https://www.google.com得到flag，基础知识：X-Forwarded-For（XFF）是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。简单地说，xff_ffrrr

X老师告诉小宁其实xff和referer是可以伪造的。
拦截数据包，修改数据包。

X-Forwarded-For: 123.123.123.123

希望我今天分享的这篇文章可以帮到您。

这个必须加在http的请求头。
得到：
必须来自https://www.google.com
再在请求头加上Referer: https://www.google.com
得到flag，
基础知识：
X-Forwarded-For（XFF）是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。
简单地说，xff是告诉服务器当前请求者的最终ip的http请求头字段
通常可以直接通过修改http头中的X-Forwarded-For字段来仿造请求的最终ip。
HTTP来源地址（referer，或HTTPreferer）
是HTTP表头的一个字段，用来表示从哪儿链接到当前的网页，采用的格式是URL。换句话说，借着HTTP来源地址，当前的网页可以检查访客从哪里而来，这也常被用来对付伪造的跨网站请求。
简单的讲，referer就是告诉服务器当前访问者是从哪个url地址跳转到自己的，跟xff一样，referer也可直接修改。