xff：xff 是http的拓展头部，作用是使Web服务器获取访问用户的IP真实地址（可伪造）。由于很多用户通过代理服务器进行访问，服务器只能获取代理服务器的IP地址，而xff的作用在于记录用户的真实IP，以及代理服务器的IP。格式为：X-Forwarded-For: 本机IP, 代理1IP, 代理2IP, 代理2IP

referer：referer 是http的拓展头部，作用是记录当前请求页面的来源页面的地址。服务器使用referer确认访问来源，如果referer内容不符合要求，服务器可以拦截或者重定向请求。

实例：攻防世界xff_referer

打开链接后知道需要X-Forwarded-For:ip地址来伪造

 

 用burp suit抓包后右键send to Repeater并添加X-Forwarded-For:123.123.123.123

 

在response中的信息，可以看到"必须来自https://www.google.com" ，所以需要再添加一个referer:网址，发送之后再响应信息中得到flag