xff_referer

http请求头

HTTP请求头是客户端（如浏览器）与服务器之间交换信息的一部分。它们包含了请求的元数据，如请求的类型、浏览器信息、接受的数据格式等。以下是HTTP请求头的基本构成和排列要求：

常见的HTTP请求头
请求行（Request Line）：

方法：如 GET、POST、PUT、DELETE 等。
URL：请求的资源地址。
HTTP版本：如 HTTP/1.1。
例：GET /index.html HTTP/1.1

常见请求头：

Host：请求的主机名（必需）。
User-Agent：客户端软件的信息。
Accept：可接受的内容类型。
Accept-Language：可接受的语言类型。
Accept-Encoding：可接受的编码格式。
Connection：是否保持连接（如 keep-alive）。
Content-Type：请求体的数据类型（在 POST 请求中常用）。
Content-Length：请求体的长度。
自定义请求头：
可以自定义任意名称的请求头，用于特定的需求。
请求头的排列要求：

顺序：虽然HTTP标准没有规定请求头的具体顺序，但通常建议将一些重要的头（如 Host 和 User-Agent）放在前面。常见的排列顺序包括：

请求行
Host
User-Agent
Accept
Accept-Language
Accept-Encoding
Connection
其他头信息

Authorization：用于身份验证，包含凭据。
Cookie：向服务器发送存储在客户端的cookie。
If-Modified-Since：仅在指定日期之后资源被修改时才请求。
If-None-Match：与服务器上的ETag值进行比较，仅在不匹配时请求。
Referer：指示请求来源的URI。
Origin：用于CORS（跨域资源共享），指示请求的源。
Expect：客户端希望服务器满足的条件，通常用于指示 100-continue。
Range：请求资源的一部分，例如在下载大文件时。
DNT (Do Not Track)：表示用户希望不被追踪。
TE：表示可接受的传输编码。
Accept-Charset：指定可接受的字符集。
Accept-Datetime：指定可接受的日期时间。
Cache-Control：指示缓存机制的指令。
Max-Forwards：限制代理服务器转发请求的次数。
Forwarded：传递原始客户端信息。
Proxy-Authorization：用于代理服务器的身份验证。
User-Agent：客户端软件的详细信息（已提及，但可以扩展）。
X-Forwarded-For：表示原始客户端的IP地址。
X-Frame-Options：防止网页被嵌入到iframe中。
X-Content-Type-Options：防止浏览器进行 MIME 类型嗅探。
X-XSS-Protection：开启浏览器的XSS保护。
Content-Security-Policy：控制页面的内容安全策略。
Last-Modified：指示资源的最后修改时间。
Access-Control-Allow-Origin：用于CORS，指示允许的源。
Sec-Fetch-Site：指示请求的上下文。
特定用途的请求头
Content-Encoding：指示请求体内容的编码方式（如 gzip）。
Content-Language：指示请求体的语言。
Content-Disposition：指定如何处理请求体内容，常用于文件下载。
X-Requested-With：用于AJAX请求，通常用于指示请求的来源。

解题

打开靶场

很显然这里要修改ip地址，伪造请求。题目描述中也指出了方向

xff请求头的全名是：X-Forwarded-For：表示原始客户端的IP地址。
Referer：指示请求来源的URI。

解题

1：要求ip地址必须为123.123.123.123，则需要修改IP地址，也就是添加X-Forwarded-For：123.123.123.123伪造一个符合要求的ip地址。

2:必须来自https://www.google.com,则需要从修改请求来源，而Referer字段刚好满足要求。

搞定。

注意，有些时候请求头的位置可能会影响到结果。