更新了下后端，原本因为用了nginx反代导致记录的ip都是127，现在配置了一下nginx，通过查看请求ip是否属于cf的cdn来判断是否把CF-Connecting-IP当真实ip，如果不属于cf的cdn则把请求ip作为真实ip，并且把真实ip记录到X-Forwarded-For和X-Real-Ip请求头。

这下也是让我知道为什么之前打ctf要考这些请求头了，因为如果没配置好，直接把请求头的ip当做真实ip那就可以被恶意用户伪造ip。

知识，真是融会贯通啊