如何伪造http头,让后端认为是本地访问

0x00 前言

这个知识点纯粹就是为了ctf准备的,很少有系统会出现这种情况。

0x01 正文

1.host头

如果后端从host取值来判断是否是本地就可以通过此方法进行绕过:

csharp 复制代码
host: 127.0.0.1

2.X-Forwarded-For

X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。Squid 缓存代理服务器的开发人员最早引入了这一HTTP头字段,并由IETF在HTTP头字段标准化草案中正式提出.

那么绕过就是:

csharp 复制代码
X-Forwarded-For: 127.0.0.1

3.Client-Ip

Client-Ip是用于识别客户端与反向代理之间的真实IP地址。

绕过方式:

csharp 复制代码
Client-Ip: 127.0.0.1

4.Referer

这个头部就是上一次请求的访问内容,绕过方式:

csharp 复制代码
Referer: 127.0.0.1
csharp 复制代码
Referer: http://127.0.0.1
相关推荐
2301_780789663 小时前
UDP和TCP的主要区别是什么
服务器·网络协议·web安全·网络安全·udp
_丿丨丨_4 小时前
XSS(跨站脚本攻击)
前端·网络·xss
一只栖枝5 小时前
HCIA-Security 认证精讲!网络安全理论与实战全掌握
网络·web安全·网络安全·智能路由器·hcia·it·hcia-security
FileLink跨网文件交换5 小时前
文件摆渡系统十大软件|文件摆渡系统如何构建网络安全呢?
网络
晨欣8 小时前
大型语言模型(LLM)在网络安全中最具商业价值的应用场景(Grok3 回答 DeepSearch模式)
网络·web安全·语言模型
有书Show9 小时前
个人IP的塑造方向有哪些?
网络·网络协议·tcp/ip
HHRL-yx9 小时前
C++网络编程 5.TCP套接字(socket)通信进阶-基于多线程的TCP多客户端通信
网络·c++·tcp/ip
迈威通信9 小时前
接口黑洞?破!安全堡垒?筑!冰火炼狱?战!MES7114W终极掌控
网络·安全
代码搬运媛10 小时前
HTTP REST API、WebSocket、 gRPC 和 GraphQL 应用场景和底层实现
websocket·http·graphql
baynk10 小时前
wireshark的常用用法
网络·测试工具·wireshark·ctf