HTTP 请求头中的 Remote_Addr,X-Forwarded-For,X-Real-IP | Spring Cloud 13
一、$remote_addr
表示发出请求的客户端主机的 IP 地址,但它的值不是由客户端提供的,而是Nginx与客户端进行TCP连接过程中,获得的客户端的真实地址 IP 地址,REMOTE_ADDR 无法伪造,因为建立 TCP 连接需要三次握手,如果伪造了源 IP,无法建立 TCP 连接,更不会有后面的 HTTP 请求。
当你的浏览器访问某个网站时:
- 假设中间没有任何代理,那么网站的
Web服务器(Nginx,Apache等)获取的remote_addr为你的机器IP。 - 如果你用了某个代理,那么你的浏览器会先访问这个代理,然后再由这个代理转发到网站,这样
Web服务器获取的remote_addr为代理机器的IP。
二、$X-Real-IP
X-Real-IP是一个自定义Header。X-Real-Ip 通常被 HTTP 代理用来表示与它产生 TCP 连接的设备 IP,这个设备可能是其他代理,也可能是真正的请求端。需要注意的是,X-Real-Ip 目前并不属于任何标准,代理和 Web 应用之间可以约定用任何自定义头来传递这个信息。
三、$X-Forwarded-For
X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。
这一HTTP头一般格式如下:
X-Forwarded-For: client1, proxy1, proxy2, proxy3
其中的值通过一个 逗号+空格 把多个IP地址区分开, 最左边(client1)是最原始客户端的IP地址, 代理服务器每成功收到一个请求,就把请求来源IP地址添加到右边。
在上面这个例子中,这个请求成功通过了三台代理服务器:proxy1, proxy2 及 proxy3。
请求由client1发出,到达了proxy3(proxy3可能是请求的终点)。
请求刚从client1中发出时,XFF是空的,请求被发往proxy1;
通过proxy1的时候,client1被添加到XFF中,之后请求被发往proxy2;
通过proxy2的时候,proxy1被添加到XFF中,之后请求被发往proxy3;
通过proxy3时,proxy2被添加到XFF中,之后请求的的去向不明,如果proxy3不是请求终点,请求会被继续转发。
最后一次代理服务器的地址并没有记录在
X-Forwarded-For中,在下文会进行此说明的验证。
鉴于伪造这一字段非常容易,应该谨慎使用X-Forwarded-For字段。正常情况下XFF中最后一个IP地址是一个比较可靠的信息来源。
在代理转发及反向代理中经常使用X-Forwarded-For 字段:
- 代理转发
在代理转发的场景中,你可以通过内部代理链以及记录在网关设备上的IP地址追踪到网络中客户端的IP地址。处于安全考虑,网关设备在把请求发送到外网(因特网)前,应该去除 X-Forwarded-For 字段里的所有信息。这种情况下所有的信息都是在你的内部网络内生成,因此X-Forwarded-For字段中的信息应该是可靠的。
- 反向代理
在反向代理的情况下,你可以追踪到互联网上连接到你的服务器的客户端的IP地址, 即使你的网络服务器和互联网在路由上是不可达的。这种情况下你不应该信任所有X-Forwarded-For信息,其中有部分可能是伪造的。因此需要建立一个信任白名单来确保X-Forwarded-For中哪些IP地址对你是可信的。
最后一次代理服务器的地址并没有记录在代理链中,因此只记录 X-Forwarded-For 字段是不够的。完整起见,Web服务器应该记录请求来源的IP地址(remote_addr)以及X-Forwarded-For 字段信息。
四、示例及分析
4.1 示例环境说明
以nginx进行反向代理示例:
| 服务IP | 角色 |
|---|---|
| 192.168. 1.82 | 客户端 |
| 192.168. 0.31 | nginx proxy1 |
| 192.168. 0.41 | nginx proxy2 |
| 192.168. 0.42 | nginx proxy3 |
| 192.168. 0.36 | nginx 后台服务 |
4.2 示例一
4.2.1 nginx proxy1 配置
location /proxy {proxy_set_header X-Real-IP $remote_addr;proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;proxy_pass http://192.168.0.41:3333;
}
4.2.2 nginx proxy2 配置
location /proxy {proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;proxy_pass http://192.168.0.42:3333;
}
4.2.3 nginx proxy3 配置
location /proxy {proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;proxy_pass http://192.168.0.36:3333;
}
4.2.4 nginx 后台服务配置
location /proxy {default_type text/html;charset gbk;return 200 "remote_addr:$remote_addr \r\n ,http_x_real_ip:$http_x_real_ip \r\n ,http_x_forwarded_for:$http_x_forwarded_for";
}
4.2.5 客户端访问服务
在客户端192.168.1.82发起服务请求:http://192.168.0.31:3333/proxy/,输出结果为:
remote_addr:192.168.0.42 ,http_x_real_ip:192.168.1.82 ,http_x_forwarded_for:192.168.1.82, 192.168.0.31, 192.168.0.41
4.2.6 分析
在离用户最近的反向代理
nginx proxy1,通过proxy_set_header X-Real-IP $remote_addr把真实客户端IP写入到请求头X-Real-IP,在nginx 后台服务输出$http_x_real_ip获取到的真实客户端IP;而nginx 后台服务的$remote_addr输出为最后一个反向代理的IP;最后一次代理服务器的地址并没有记录在
$X-Forwarded-For中,$X-Forwarded-For加上$remote_addr才能构建出完整的代理链路。当有多个代理时,可以在第一个反向代理上配置
proxy_set_header X-Real-IP $remote_addr获取真实客户端IP;
4.3 示例二
4.3.1 伪造x-forwarded-for
利用PostMan伪造x-forwarded-for发起请求:
输出结果为:
remote_addr:192.168.0.42
,http_x_real_ip:192.168.1.82
,http_x_forwarded_for:127.0.0.1, 192.168.0.1, 192.168.1.82, 192.168.0.31, 192.168.0.41
4.3.2 改造nginx proxy1 配置
location /proxy {proxy_set_header X-Real-IP $remote_addr;proxy_set_header X-Forwarded-For $remote_addr;proxy_pass http://192.168.0.41:3333;
}
在第一个代理服务器上(nginx proxy1)用$remote_addr来覆盖X-Forwarded-For,用真实客户端IP过滤掉或覆盖伪造的IP。
4.3.3 客户端访问服务
再次利用PostMan伪造x-forwarded-for发起请求:
输出结果为:
remote_addr:192.168.0.42
,http_x_real_ip:192.168.1.82
,http_x_forwarded_for:192.168.1.82, 192.168.0.31, 192.168.0.41
4.3.4 分析
- 当有多个代理时,可以在第一个反向代理上配置
proxy_set_header X-Forwarded-For $remote_addr,用真实客户端IP过滤掉或覆盖伪造的客户端IP。 - 此时
$X-Forwarded-For获取的第一个IP为真实客户端IP。
五、结论
当存在一个或多个代理时:
- 可以在第一个反向代理上配置
proxy_set_header X-Real-IP $remote_addr获取真实客户端IP; - 可以在第一个反向代理上配置
proxy_set_header X-Forwarded-For $remote_addr,用真实客户端IP过滤掉或覆盖伪造的客户端IP,此时$X-Forwarded-For获取的第一个IP为真实客户端IP。 - 最后一个代理服务器的地址并没有记录在
$X-Forwarded-For中,$X-Forwarded-For加上$remote_addr才能构建出完整的代理链路。
HTTP 请求头中的 Remote_Addr,X-Forwarded-For,X-Real-IP | Spring Cloud 13相关推荐
- HTTP 请求头中的 Remote_Addr,X-Forwarded-For,X-Real-IP
REMOTE_ADDR 表示发出请求的远程主机的 IP 地址,remote_addr代表客户端的IP,但它的值不是由客户端提供的,而是服务端根据客户端的ip指定的,当你的浏览器访问某个网站时,假设中间 ...
- Http 请求头中的 Proxy-Connection
平时用 Chrome 开发者工具抓包时,经常会见到 Proxy-Connection 这个请求头.之前一直没去了解什么情况下会产生它,也没去了解它有什么含义.最近看完<HTTP 权威指南> ...
- ajax被token拦截,vue中封装ajax请求,并且拦截请求在请求头中添加token
/** * 封装请求方法 * @param {Object} url 接口请求地址 * @param {Object} data 接口请求参数(无需请求方式参数,则此项可以为空,否则必须传) * @p ...
- axios获取header中的信息_Axios请求头中常见的Content-Type及其使用
Vue2.0之后,官方不再继续维护vue-resource,尤雨溪大大推荐使用Axios用来替代Ajax. Axios请求头中的Content-Type常见的有3种: 1.Content-Type:a ...
- mysqls压力测试怎么用_用 Swagger 测试接口,怎么在请求头中携带 Token?
松哥周末抽空给 Spring Security 系列也录制了一套视频,目录如下: 感兴趣的小伙伴戳这里-->Spring Boot+Vue+微人事视频教程 今天的话题来自一个小伙伴在微信上的提问 ...
- oauth2 java 获取token_OAuth2 Token 一定要放在请求头中吗?
Token 一定要放在请求头中吗? 答案肯定是否定的,本文将从源码的角度来分享一下 spring security oauth2 的解析过程,及其扩展点的应用场景. Token 解析过程说明 当我们使 ...
- http请求头中Referer的作用及危害
一.Referer Referer是HTTP请求header中的一部分,其表示请求当前资源的客户端来源,当浏览器(或模拟浏览器行为)向web服务器发送请求的时候,头部信息里会携带Referer. 例如 ...
- 爬虫-在请求头中添加cookie键值对 访问登陆后可见的页面
关于cookie >笔记 >理解 cookie相当于病人手里的病历 cookie的格式 请求头中添加cookie键值对 练习-不使用cookie访问个人中心 访问人人网个人中心 结果是得到 ...
- http请求头中Referer的含义和作用
http请求头中Referer的含义和作用 别人写好了,链接过去看看吧,出门左转. 记得房号不迷路 02房 01房 三人行必有我师焉,其实两人行也有我师焉--
最新文章
- Web的桌面提醒(Popup)
- Windwos 08R2_DNS全面图文详解
- python3.7.2教程-centos7系统下python2与python3共存
- 完整版使用Shell脚本在多个服务器同时实现Mysql建表语句和删除表
- 程序运行正常,数据库没反应
- r语言模型评估:_情感分析评估:对自然语言处理的过去和未来的反思
- CoreJava 笔记总结-第七章 异常,断言和日志
- NanoLog软件架构
- for 循环新的写法==列表解析
- 聚能聊每周精选 第十五期
- 【学习OpenCV4】图像的模糊处理方法(均值滤波与高斯模糊)
- Guava LoadingCache用法
- html ul做成表格,HTML+CSS入门 ul打造表格样式解析
- 微信小程序Unhandled promise rejection TypeError
- C. Get an Even String
- C语言基础-#include<stdio.h>
- Chrome DevTools 使用详解
- 软件测试行业的优缺点
- Java操作Excel电子表格
- Mybatis配置Mapper踩过的坑