如何伪造http头，让后端认为是本地访问

Wcbddd2023-09-07 3:01

0x00 前言

这个知识点纯粹就是为了ctf准备的，很少有系统会出现这种情况。

如果后端从host取值来判断是否是本地就可以通过此方法进行绕过：

csharp 复制代码

host: 127.0.0.1

X-Forwarded-For（XFF）是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。Squid 缓存代理服务器的开发人员最早引入了这一HTTP头字段，并由IETF在HTTP头字段标准化草案中正式提出.

那么绕过就是:

csharp 复制代码

X-Forwarded-For: 127.0.0.1

Client-Ip是用于识别客户端与反向代理之间的真实IP地址。

绕过方式：

csharp 复制代码

Client-Ip: 127.0.0.1

这个头部就是上一次请求的访问内容，绕过方式：

csharp 复制代码

Referer: 127.0.0.1

csharp 复制代码

Referer: http://127.0.0.1