1,xff,全写是X-Forwarded-For,简称xff头,代表http客户端的真实IP。
Referer,表示页面的来源。
2,burpsuite抓取页面,发送至repeater,在消息头中添加x-forwarded-for:123.123.123.123
response中提示.innerHTML="必须来自https://www.google.com";
3,在已添加x-forwarded-for:的基础上,继续添加Referer:https://www.google.com,发送请求,response中得到flag。
