web题的XFF(x-forworde-for)

X-Forwarded-For（XFF）是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。

简单地说，xff是告诉服务器当前请求者的最终ip的http请求头字段
通常可以直接通过修改http头中的X-Forwarded-For字段来仿造请求的最终ip

HTTP来源地址（referer，或HTTPreferer）
是HTTP表头的一个字段，用来表示从哪儿链接到当前的网页，采用的格式是URL。换句话说，借着HTTP来源地址，当前的网页可以检查访客从哪里而来，这也常被用来对付伪造的跨网站请求。

跟xff一样，referer也可直接修改

例题：攻防世界web Xff_referer

打开链接后：

然后打开firefox 代理服务器用burp suit进行抓包:

抓到包后在请求头添加“X-Forwarded-For: 123.123.123.123”，然后放包:

然后就去刷新网址：

这是题目提示Referer来自“http://www.google.com”故增加http的来源地址：