X-Forwarded-For（XFF）是一个 HTTP 头，通常用于记录客户端的真实 IP 地址，尤其是在反向代理服务器（如 Nginx、CDN）前后。攻击者可以伪造这个头部，绕过 IP 访问控制。因此，我们需要在 IIS 上配置防护规则，防止伪造的 X-Forwarded-For 请求。