一、重要的头参数
user_agent 发出请求的用户信息
X-Forwarded-For 表示 HTTP 请求端真实 IP(格式:X-Forwarded-For: client, proxy1, proxy2)最开始的是离服务端最远的设备 IP,然后是每一级代理设备的 IP
Referer 告诉服务器该网页是从哪个页面链接过来的。(作用:1.防盗链。2.防恶意请求)
client_ip 是代理服务器发送的HTTP头(如果是“超级匿名代理”,则返回none值)
cookie 可以让传输的时候保持一些状态信息(Cookie 是一种能够让网站 Web 服务器把少量数据储存到客户端的硬盘或内存里,或是从客户端的硬盘里读取数据的一种技术。分两类:会话cookie和持久cookie。)
二、危险的头注入
1.HOST注入
参考:https://www.freebuf.com/column/202764.html
2.X-Forwarded-For注入
例如:
GET /index.php HTTP/1.1
Host: [host]
X_FORWARDED_FOR :127.0.0.1′ or 1=1#
3.user_agent注入
例如:
GET /index.php HTTP/1.1
Host: [host]
User-Agent: aaa’ or 1/*
4.Referer注入
例如:
GET /index.php HTTP/1.1
Host: [host]
User-Agent: aaa’ or 1/*
Referer: https://i.cnblogs.com/EditPosts.aspx?opt=1