在正文开始前，pmmo先向各位师父，大佬还有大神问好。在下现在还只是一只菜狗，有些东西只是按照自己的理解讲述，可能会出现错误，望留情。

XFF

XFF全称为X-Forwarded-For，是HTTP的拓展头部，作用是使Web服务器获取访问用户的IP真实地址（可伪造），简单来说就是记录IP，IP可能是用户的，也有可能是服务器的。

XFF的表达格式就是：

这里我们同样给出一个关于XFF传输的图示：

XFF漏洞

总所周知，只要一个事物的出现，那么就往往会伴随着这件事物衍生而出的问题，在这里，我们就要提起XFF漏洞。

XFF漏洞也可以称之为IP欺骗，就是通过一个伪造的IP，进入到网站内部，从而得到网站内的我们所需要的信息。

XFF注入本质上属于SQL注入的一种，该注入原理是通过修改X-Forwarded-for头对带入系统的dns进行sql注入，达到欺骗服务器执行恶意的SQL命令的效果，从而可以得到网站的数据库内容。

这里我们可以使用BUUCTF的题目作为实测环境来观察XFF的作用：

（这道题目是buuctf的极客大挑战HTTP，前面的步骤无关XFF的内容，这里就不说明了。）

在划线的地方就是我们利用XFF添加的伪ip，我们也是靠着这个伪造的本地ip成功解出这一道题目，相信各位现在对于XFF也有了简单的了解。

至于XFF的注入这里我们也不细说明，因为它的注入方法与SQL注入中的Header注入基本一致，大家若是想要了解SQL注入的可以在各大技术博客上搜索，这里能力有限，也就不做过多阐述。