Part1:XFF与Referer基本了解

关于xff和referer维基百科：

X-Forwarded-For（XFF）是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。

HTTP Referer是header的一部分，当浏览器向web服务器发送请求的时候，一般会带上Referer，告诉服务器该网页是从哪个页面链接过来的，服务器因此可以获得一些信息用于处理。简单地说，xff是告诉服务器当前请求者的最终ip的http请求头字段通常可以直接通过修改http头中的X-Forwarded-For字段来仿造请求的最终ip

+++++++++++++++++++++++++++++++++++++++++++++++++++
也就是说：

xff 是http的拓展头部，作用是使Web服务器获取访问用户的IP真实地址（可伪造）。由于很多用户通过代理服务器进行访问，服务器只能获取代理服务器的IP地址，而xff的作用在于记录用户的真实IP，以及代理服务器的IP。

格式为：X-Forwarded-For: 本机IP, 代理1IP, 代理2IP, 代理2IP

referer 是http的拓展头部，作用是记录当前请求页面的来源页面的地址。服务器使用referer确认访问来源，如果referer内容不符合要求，服务器可以拦截或者重定向请求。

   即：XFF构造来源IP，Referer构造来源浏览器！！！！

Part2：攻防世界WEB实操

首先进入环境，发现只有这句话，打开Burpsuite尝试抓包

在抓到的包上构造来源IP，GO！
（不能写成XFF：~~~）

获得来源浏览器~~~~

在包上加上Referer，GO!

Capure The Flag！