1，xff，全写是X-Forwarded-For，简称xff头，代表http客户端的真实IP。

　　Referer，表示页面的来源。

 

2，burpsuite抓取页面，发送至repeater，在消息头中添加x-forwarded-for:123.123.123.123

response中提示.innerHTML="必须来自https://www.google.com"; 

 

3，在已添加x-forwarded-for:的基础上，继续添加Referer:https://www.google.com，发送请求，response中得到flag。