如何伪造http头,让后端认为是本地访问

Wcbddd2023-09-07 3:01

0x00 前言

这个知识点纯粹就是为了ctf准备的,很少有系统会出现这种情况。

0x01 正文

1.host头

如果后端从host取值来判断是否是本地就可以通过此方法进行绕过:

csharp 复制代码 
host: 127.0.0.1

2.X-Forwarded-For

X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。Squid 缓存代理服务器的开发人员最早引入了这一HTTP头字段,并由IETF在HTTP头字段标准化草案中正式提出.

那么绕过就是:

csharp 复制代码 
X-Forwarded-For: 127.0.0.1

3.Client-Ip

Client-Ip是用于识别客户端与反向代理之间的真实IP地址。

绕过方式:

csharp 复制代码 
Client-Ip: 127.0.0.1

4.Referer

这个头部就是上一次请求的访问内容,绕过方式:

csharp 复制代码 
Referer: 127.0.0.1
csharp 复制代码 
Referer: http://127.0.0.1
相关推荐
瑾珮1 小时前
nmcli命令网络配置
linux·网络
车载测试工程师1 小时前
CAPL学习-SOME/IP交互层-原始数据访问类函数
网络协议·tcp/ip·以太网·capl·canoe
网络研究院1 小时前
2026年智能体人工智能的激增引发新的网络安全风险
网络·人工智能·安全·web安全·ai
Dev7z2 小时前
基于MATLAB的GA–PSO混合算法无线传感器网络节点部署优化研究
网络·算法·matlab
乾元2 小时前
AI 如何从配置历史与变更日志中推理出“变更引发的故障”——自动化根因分析的因果推理引擎
网络·人工智能·运维开发
sc.溯琛2 小时前
计算机网络试题分类及解析文档
网络
想用offer打牌2 小时前
一站式了解http1.1,http2.0和http3.0
后端·网络协议·面试
longvoyage2 小时前
MindSpore社区活动:在对抗中增强网络
网络·人工智能·深度学习
我爱学习_zwj2 小时前
Node.js拦截器模式实现动态HTTP服务
网络协议·http·node.js
huangyuchi.2 小时前
【Linux 网络】理解并应用应用层协议:HTTP(附简单HTTP服务器C++代码)
linux·服务器·网络·网络协议·http·c/c++
热门推荐
01GitHub 镜像站点02【AutoGLM部署】本地私有化部署AI手机Agent03UV安装并设置国内源04Open-AutoGLM Windows 安装部署教程05Linux下V2Ray安装配置指南06【超详细教程】手把手教你从微软官网免费下载Windows 10官方原版ISO镜像(2025最新版)07Cursor 又偷偷更新,这个功能太实用:Visual Editor for Cursor Browser08安娜的档案(Anna’s Archive) 镜像网站/国内最新可访问入口(持续更新)09BongoCat - 跨平台键盘猫动画工具10Windows 11 官方系统安装与重装完整教程(2025年最新版)