如何伪造http头,让后端认为是本地访问

Wcbddd2023-09-07 3:01

0x00 前言

这个知识点纯粹就是为了ctf准备的,很少有系统会出现这种情况。

0x01 正文

1.host头

如果后端从host取值来判断是否是本地就可以通过此方法进行绕过:

csharp 复制代码 
host: 127.0.0.1

2.X-Forwarded-For

X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。Squid 缓存代理服务器的开发人员最早引入了这一HTTP头字段,并由IETF在HTTP头字段标准化草案中正式提出.

那么绕过就是:

csharp 复制代码 
X-Forwarded-For: 127.0.0.1

3.Client-Ip

Client-Ip是用于识别客户端与反向代理之间的真实IP地址。

绕过方式:

csharp 复制代码 
Client-Ip: 127.0.0.1

4.Referer

这个头部就是上一次请求的访问内容,绕过方式:

csharp 复制代码 
Referer: 127.0.0.1
csharp 复制代码 
Referer: http://127.0.0.1
相关推荐
辉视广播对讲14 小时前
医院IPTV,让医疗服务更有温度
网络·人工智能
Tim风声(网络工程师)14 小时前
光功率计中的红光(光衰测试设备)的使用
运维·网络
星辰徐哥15 小时前
C语言网络编程:TCP、UDP、HTTP深度解析
c语言·网络·tcp/ip
茉莉玫瑰花茶15 小时前
LangGraph 介绍
服务器·网络·数据库
柠檬威士忌98516 小时前
2026-05-09 AI 前沿日报:算力战争、训练网络与前沿模型监管进入新阶段
网络·人工智能
念越16 小时前
从网络基础到Socket编程:TCP/UDP原理 + Java实战详解
java·网络·tcp/ip·udp
2301_7807896616 小时前
云服务器被黑能恢复吗?云服务器被黑的解决办法
运维·服务器·网络·安全·web安全
AI精钢16 小时前
修复 AI Gateway 图片 MIME 类型错误:用魔数检测替代扩展名猜测
网络·人工智能·python·gateway·aigc
Tim风声(网络工程师)18 小时前
QoS (服务质量)和TE(流量工程)的区别
运维·网络
七仔啊19 小时前
IPv6初尝试
网络·智能路由器
热门推荐
01GitHub 镜像站点02Codex 接入 DeepSeek API 完整配置文档03零基础教你claude code 接入 deepseek V404【AI】2026 年具身智能模型和世界模型总结05CC-Switch & Claude 基于 Linux 服务器安装使用指南06要裂开了!ChatGPT要手机号验证了?注册Codex要求验证电话号码怎么办?2026年登陆Codex要手机号验证的解决办法07Windows端Codex接入第三方模型(DeekSeek,BaiLian)082026年AI前瞻:量子AI、具身智能与科学发现的新纪元09Dirtyfrag漏洞:我花了一下午搞清楚这个Linux内核提权漏洞到底在搞什么10裂开!ChatGPT 居然开始要手机号验证,附详细解决方法