原来 Google 也不做 XFF 是否伪造的识别

123 天前

drymonfidelia

今天发现 yt-dlp 不用日本代理也能下载日本地区 exclusive 的视频，想到两种可能，一种是这是纯前端限制，一种是 yt-dlp 内置了代理池，上 github 看代码看看能不能利用一下。结果是第三种原因，yt-dlp 直接伪造了 X-Forwarded-For 请求头就通过了 IP 限制

1452 次点击

所在节点

Google

6 条回复

wzhpro

123 天前

这个怎么识别？

drymonfidelia

123 天前

@wzhpro 在边缘节点把用户提供的 XFF 清空

ospider

123 天前

可能 Google 自己都不愿意限制这种东西，所以只是象征性的做一下……

wzhpro

123 天前

@drymonfidelia
如果是真实的 XFF 怎么办？

drymonfidelia

123 天前

@wzhpro 边缘节点以外的 XFF 没用

wzhpro

120 天前

@drymonfidelia 不一定，有一些大公司、或是运营商，网络里面的用户会用代理的方式上网，还有一些合法的网络加速服务

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1017966

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.