需了解知识: xff:X-Forwarded-For缺陷与陷阱 - 简书 (jianshu.com) referer:前端面试—Http请求头中Referer的含义和作用 - 知乎 (zhihu.com) 就如题目所说,xff和referer是可以伪造的有两种方法 直接在bp抓包把X-Forwarded-For添加进去 再添加referer 搞定