客戶沒有裝nginx，直接用iis設置。

X-Forwarded-For（XFF）是一個 HTTP 頭，通常用于記錄客戶端的真實 IP 地址，尤其是在反向代理服務器（如 Nginx、CDN）前后。攻擊者可以偽造這個頭部，繞過 IP 訪問控制。因此，我們需要在 IIS 上配置防護規則，防止偽造的 X-Forwarded-For 請求。

步驟：在 IIS 上設置 X-Forwarded-For 防護

安裝 URL Rewrite 模塊

首先，確保 IIS 安裝了 URL Rewrite 模塊。如果沒有，可以從 IIS 下載中心下載并安裝。

配置入站規則

打開 IIS 管理器，選擇網站 → 雙擊 URL Rewrite → 點擊 添加規則，選擇 空白規則（Blank Rule）。

條件 1：{HTTP_X_FORWARDED_FOR} → 正則表達式 .+（表示請求包含 XFF）

條件 2：{REMOTE_ADDR} → 不匹配模式，設置為可信的反代 IP（例如：^172\.16\.20\.50$）

規則名稱：防止偽造 XFF  

請求 URL：選擇 正則表達式，并設置為 .*（匹配所有請求）

添加條件：

配置動作：選擇 自定義響應，設置狀態碼 403，并寫上“偽造 XFF”作為描述。

保存并應用

點擊 應用，保存規則。之后，重啟 IIS 或回收應用池。

如何測試規則是否生效

使用 curl 測試偽造的 X-Forwarded-For 請求：

curl -v -H "X-Forwarded-For: 8.8.8.8" https://你的域名/