(资料图片仅供参考)

络代理和负载均衡是常用的技术手段，他们发出的请求所带ip不再是原始发送方的ip。所以，为了识别这个请求最开始是谁发出的，我们就引入了这两个字段。

然而，他们却是可以被人工伪造的，下面我们使用Burp Suite这个抓包工具来操作一下。XFF和referer可以用burp截断以后伪造，这就是XFF漏洞。

8.一般的首页是index

9.安全研究：重要：漏洞分析，逆向工程，攻防实践，密码工程