XFF即x-forward-for,后面跟发起http请求的原始ip地址,如果是本机就是127.0.0.1
referer可以理解为从哪来,比如我用百度搜索CSDN,然后点击链接进入之后,在页面上按f12查看请求头会发现referer就是百度的域名。
XFF和referer可以用burp截断以后伪造,这就是XFF漏洞。
https://blog.csdn.net/zx980414k/article/details/114678344
解题
1.用bp抓包,进入Repeater选项卡,添加xff头
X-Forwarded-For:123.123.123.123
后
Referer:https://www.google.com
2.用X-Forwarded-For插件
后hackbar用Referer