1,xff,全寫是X-Forwarded-For,簡稱xff頭,代表http客戶端的真實IP。
Referer,表示頁面的來源。
2,burpsuite抓取頁面,發送至repeater,在消息頭中添加x-forwarded-for:123.123.123.123
response中提示.innerHTML="必須來自https://www.google.com";
3,在已添加x-forwarded-for:的基礎上,繼續添加Referer:https://www.google.com,發送請求,response中得到flag。
