1、解題思路：在burpsuit中抓包。然后添加x-forwarded_for：1.1.1.1

2、知識點:

解釋為什么用X_FORWARDED_FOR偽造IP的原因：

1.HTTP_CLIENT_IP頭是有的，只是未成標(biāo)準(zhǔn)，不一定服務(wù)器都實現(xiàn)了。(百度發(fā)現(xiàn)這是一個傳說。)

2. HTTP_X_FORWARDED_FOR 是有標(biāo)準(zhǔn)定義，用來識別經(jīng)過HTTP代理后的客戶端IP地址，格式：clientip,proxy1,proxy2。

拓展：如果說有些限制ip地址多次投票使用的是這種方法檢驗的話，可以繞過。

? ? ? ? 利用"HTTP_X_FORWARDED_FOR"這個屬性獲取客戶端IP的方法就不再可取了.-_-? ? ? ?# 但如果不用這種方法.那么那些真正使用了代理服務(wù)器的人.我們又不能再獲取到他們的真實IP地 址(因為某些代理服務(wù)器會在"X_FORWARDED_FOR"這個HTTP頭里加上訪問用戶真正的IP地址).呵.現(xiàn)實就是這樣,某種東西都有有得必有失...

原文鏈接：https://www.cnblogs.com/kingthy/archive/2007/11/24/970783.html

3. REMOTE_ADDR 是可靠的， 它是最后一個跟你的服務(wù)器握手的IP，在curl 中也無法偽造是，相對比較安全的服務(wù)端ip獲取方法

拓展

? ?curl是利用URL語法在命令行方式下工作的開源文件傳輸工具。它被廣泛應(yīng)用在Unix、多種Linux? ? ?發(fā)行版中，并且有DOS和Win32、Win64下的移植版本。

? 今天就是講給REMOTE_ADDR不可以偽造的，就在curl 中也無法偽造 相對是比較安全的服務(wù)端ip? ? 獲取方法，當(dāng)然，也有可能被路由偽造 這個不好說，因為REMOTE_ADDR 是底層的回話ip地? ?址，? 路由是可以發(fā)起偽造。所以，網(wǎng)上很多人都在問這個問題，也有很多人不死心，但現(xiàn)實確實是? 殘酷的 也是完美的