转:利用HTTP_X_FORWARDED_FOR获取客户端IP(http代理的相关知识)

最新推荐文章于 2024-02-26 11:09:52 发布
最新推荐文章于 2024-02-26 11:09:52 发布
阅读量5k 收藏 1
点赞数
分类专栏: 工作经验 文章标签: 服务器 投票系统 浏览器 server web开发 sql 
REMOTE_ADDR 是你的客户端跟你的服务器“握手”时候的IP。如果使用了“匿名代理”,REMOTE_ADDR将显示代理服务器的IP。
HTTP_CLIENT_IP 是代理服务器发送的HTTP头。如果是“超级匿名代理”,则返回none值。同样,REMOTE_ADDR也会被替换为这个代理服务器的IP。
$_SERVER['REMOTE_ADDR']; //访问端(有可能是用户,有可能是代理的)IP
$_SERVER['HTTP_CLIENT_IP'];   //代理端的(有可能存在,可伪造)
$_SERVER['HTTP_X_FORWARDED_FOR']; //用户是在哪个IP使用的代理(有可能存在,也可以伪造)


 
 
    		  
  
  
  
  

   
   Request.ServerVariables变量意义. http代理相关知识
Request.ServerVariables["HTTP_VIA"]---------可以获得用户内部的ip
Request.ServerVariables["HTTP_X_FORWARDED_FOR"]---------可以知道代理服务器的服务器名以及端口
Request.ServerVariables["REMOTE_ADDR"]-- 发出请求的远程主机的 IP 地址。
http代理相关知识
关键就在HTTP_X_FORWARDED_FOR
使用不同种类代理服务器,上面的信息会有所不同:
一、没有使用代理服务器的情况:
REMOTE_ADDR = 您的 IP
HTTP_VIA = 没数值或不显示
HTTP_X_FORWARDED_FOR = 没数值或不显示
二、使用透明代理服务器的情况:Transparent Proxies
REMOTE_ADDR = 代理服务器 IP
HTTP_VIA = 代理服务器 IP
HTTP_X_FORWARDED_FOR = 您的真实 IP
这类代理服务器还是将您的信息转发给您的访问对象,无法达到隐藏真实身份的目的。
三、使用普通匿名代理服务器的情况:Anonymous Proxies
REMOTE_ADDR = 代理服务器 IP
HTTP_VIA = 代理服务器 IP
HTTP_X_FORWARDED_FOR = 代理服务器 IP
隐藏了您的真实IP,但是向访问对象透露了您是使用代理服务器访问他们的。
四、使用欺骗性代理服务器的情况:Distorting Proxies
REMOTE_ADDR = 代理服务器 IP
HTTP_VIA = 代理服务器 IP
HTTP_X_FORWARDED_FOR = 随机的 IP
告诉了访问对象您使用了代理服务器,但编造了一个虚假的随机IP代替您的真实IP欺骗它。
五、使用高匿名代理服务器的情况:High Anonymity Proxies (Elite proxies)
REMOTE_ADDR = 代理服务器 IP
HTTP_VIA = 没数值或不显示
HTTP_X_FORWARDED_FOR = 没数值或不显示 
  
  

  
  

   
   在WEB开发中.我们可能都习惯使用下面的代码来获取客户端的IP地址:
 -----------------C#代码---------------------------------------------------------------------- 

  
  

  
  

   
   //优先取得代理IP 
   
   

   
   string IP = Request.ServerVariables["HTTP_X_FORWARDED_FOR"
   
   ]; 
if (string.IsNullOrEmpty(IP)) 
   
   {
 //没有代理IP则直接取连接客户端IP 
 IP = Request.ServerVariables["REMOTE_ADDR"]; 
}
   
    
  
  

  
  


   
   ----------------------------------------------------------------------------------------------- 

上面代码看来起是正常的.可惜这里却隐藏了一个隐患!!因为"HTTP_X_FORWARDED_FOR"这个值是通过获取HTTP头的"X_FORWARDED_FOR"属性取得.所以这里就提供给恶意破坏者一个办法:可以伪造IP地址!! 

下面是测试代码: 
--------------C#代码--------------------------------------------------------------------------- 

  
  

  
  

   
   HttpWebRequest request = (HttpWebRequest)HttpWebRequest.Create("http://localhost/ip.aspx"
   
   ); 
request.Headers.Add("X_FORWARDED_FOR""0.0.0.0"
   
   ); 
HttpWebResponse response =
   
    (HttpWebResponse)request.GetResponse(); 
StreamReader stream = new
   
    StreamReader(response.GetResponseStream()); 
string IP =
   
    stream.ReadToEnd(); 
stream.Close(); 
response.Close(); 
request = null
  
  

  
  


   
   ----------------------------------------------------------------------------------------------- 
"ip.aspx"文件代码: 
------------C#代码----------------------------------------------------------------------------- 

  
  

  
  

   
   
   
   Response.Clear(); 
//优先取得代理IP 
   
   

   
   string IP = Request.ServerVariables["HTTP_X_FORWARDED_FOR"
   
   ]; 
if (string
   
   .IsNullOrEmpty(IP))

   
     //没有代理IP则直接取客户端IP 
  IP = Request.ServerVariables["REMOTE_ADDR"]; 
}
   
    
Response.Write(IP); 
Response.End(); 
  
  

  
  


   
   ------------------------------------------------------------------------------------------------ 
这样.当测试代码中去访问ip.aspx文件时."string IP = stream.ReadToEnd();"这段代码取到的IP数据就是"0.0.0.0"!!!!(呵.在真实情况下.这样的IP地址肯定不是我们想要的结果.而在有些投票系统中限制一个IP只能投1次票时,如果也是用类似的代码取得对方IP然后再判断的话.呵呵.限制就失效咯)... 

或者如果你用上面代码获取IP地址后后面又不再进行数据判断的话也许还能更进一步进行数据破坏!!
比如你用类似上面的代码中获取IP地址就直接有这样的SQL语句:
 
   
   string sql = "INSERT INTO (IP) VALUE ('" + IP + "')"; 
那么也许破坏者还可以进行SQL注入进行数据破坏!! 

这样看来利用"HTTP_X_FORWARDED_FOR"这个属性获取客户端IP的方法就不再可取了.-_-# 但如果不用这种方法.那么那些真正使用了代理服务器的人.我们又不能再获取到他们的真实IP地址(因为某些代理服务器会在"X_FORWARDED_FOR"这个HTTP头里加上访问用户真正的IP地址).呵.现实就是这样,某种东西都有有得必有失...


代理服务器的分类

1、HTTP代理按匿名功能分类。

是否具有隐藏IP的功能。

非匿名代理:不具有匿名功能。

匿名代理。使用此种代理时,虽然被访问的网站不能知道你的IP地址,但仍然可以知道你在使用代理,有些侦测IP的网页也仍然可以查到你的IP。

高度匿名代理:使用此种代理时,被访问的网站不知道你的IP地址,也不知道你在使用代理进行访问。此种代理的隐藏IP地址的功能最强。

2、按请求信息的安全性分类

全匿名代理:不改变你的request fields(报文),使服务器端看来就像有个真正的客户浏览器在访问它。当然,你的真实IP是隐藏起来的。服务器的网管不会认为你使用了代理。

普通匿名代理:能隐藏你的真实IP,但会更改你的request fields,有可能会被认为使用了代理,但仅仅是可能,一般说来是没问题的。不过不要受它的名字的误导,其安全性可能比全匿名代理更高,有的代理会剥离你的部分信息(就好比防火墙的stealth mode),使服务器端探测不到你的操作系统版本和浏览器版本。

elite代理:匿名隐藏性更高,可隐藏系统及浏览器资料信息等。此种代理安全性特强。

透明代理(简单代理):透明代理的意思是客户端根本不需要知道有代理服务器的存在,它改编你的request fields(报文),并会传送真实IP。注意,加密的透明代理则是属于匿名代理,意思是不用设置使用代理了,例如Garden 2程序。

双刃剑客
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
使用HTTP_X_FORWARDED_FOR获取客户端IP的严重后果
10-29
我的建议是不要再使用上面的方法去获取客户端IP.即是不要再理会代理情况.
获得用户的真实ip HTTP_X_FORWARDED_FOR
天宝的博客
03-26 2万+
工作中经常会有有获得用户真实ip的情况,HTTP_X_FORWARDED_FOR这个函数总是忘记,所以我这里记录下来吧. 在PHP 中使用 [“REMOTE_ADDR”] 来取得客户端IP 地址,但如果客户端是使用代理服务器来访问,如果要获取真正的ip就需要使用[‘HTTP_X_FORWARDED_FOR’]. if(isset($_SERVER['HTTP_X_FORWARDED_FOR']...
HTTP X-Forwarded-For 介绍
zhoupenghui168的博客
02-10 1784
X-Forwarded-For 是一个 HTTP 扩展头部。HTTP/1.1(RFC 2616)协议并没有对它的定义,它最开始是由 Squid 这个缓存代理软件引入,用来表示 HTTP 请求端真实 IP。如今它已经成为事实上的标准,被各大 HTTP 代理、负载均衡等发服务广泛使用,并被写入 RFC 7239(Forwarded HTTP Extension)标准之中。 X-Forwarded-For 请求头格式非常简单,就这样: X-Forwarded-For: client, proxy1, pr
nginx 从$http_x_forwarded_for 中获取第一个参数
最新发布
cn_yaojin
02-26 692
变量通常包含了客户端的原始 IP 地址以及可能经过的代理服务器IP 地址列表,这些地址由逗号分隔。中截取第一个参数(即最左边的 IP 地址),你可以使用 Nginx 的内置变量处理功能。变量来引用截取后的第一个 IP 地址。现在,你可以在你的 Nginx 配置中使用。中使用它来记录这个 IP 地址,或者在。下面是一个示例配置,展示了如何截取。中使用它来记录访问日志。在 Nginx 中,
HTTP 请求头中的 X-Forwarded-For,X-Real-IP
Erica_1230的专栏
03-02 1252
在使用nginx做反向代理时,我们为了记录整个的代理过程,我们往往会在配置文件中做如下配置: location / { 省略... proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_pass http://1xx.xxx.xxx.xxx; }...
nginx通过http_x_forwarded_for限制来访IP示例
Skywin88的博客
06-17 7740
#http_x_forwarded_for地址不在下列IP中则返回403 map $http_x_forwarded_for $accessip { default false; 10.10.10.10 true; 10.10.10.11 true; 10.10.10.12 true; 10.10.10.13 true; 10.10.10.14 true; 10.10.10.15 true; 192.168.1.1 true; } #反向代理地址 upstream sandbox-open {
HTTP 请求头中的 X-Forwarded-For(XFF)
热门推荐
义臻的博客
03-12 3万+
在Java代码实践中,有两种方式可以从HTTP请求中获得请求者的IP地址。一个是从Remote Address中获得,另一个是从X-Forward-For中获得,但他们的安全性和使用场景各有不同。一旦用错,就可能为系统造成漏洞。因此,需要开发者对这两个参数深入的理解。 Remote Address代表的是当前HTTP请求的远程地址,即HTTP请求的源地址。HTTP协议在三次握手时使用的就是这个R...
web站点获取用户IP的安全方法 HTTP_X_FORWARDED_FOR检验
10-27
通过上一篇,获取用户Ip地址通用方法常见安全隐患(HTTP_X_FORWARDED_FOR) ,我们已经意 识到直接从http_x_forwarded_for中读取用户IP,跟我们直接从一个get,post值中读取其实没有两样。web参数检测里面一个基本原则...
获取用户Ip地址通用方法与常见安全隐患(HTTP_X_FORWARDED_FOR)
10-27
个来自一些项目中,获取用户Ip,进行用户操作行为的记录,是常见并且经常使用的。 一般朋友,都会看到如下通用获取IP地址方法
asp HTTP_X_FORWARDED_FOR和REMOTE_ADDR
10-30
HTTP_X_FORWARDED_FOR与REMOTE_ADDR的区别.
HTTP X-Forwarded-For 头部字段的应用
weixin_34082854的博客
01-08 1491
【背景】在运维工作中,经常会遇到X-Forwarded-For 这个字段,比如nginx、haproxy、缓存代理、甚至好点的网络7层网络设备都可以修改这个字段,这个字段对记录客户端的真实IP地址非常有用,在分析nginx日志,haproxy日志中,经常利用这个字段统计访问的来源,并进一步分析问题 常见如下两个网络结构,从办公室用户通过公网访问一台webserver服务 这个事例是公司的一个用户(...
HTTP 请求头中的 X-Forwarded-For
赶路人儿
08-01 1万+
通过名字就知道,X-Forwarded-For 是一个 HTTP 扩展头部。HTTP/1.1(RFC 2616)协议并没有对它的定义,它最开始是由 Squid 这个缓存代理软件引入,用来表示 HTTP 请求端真实 IP。如今它已经成为事实上的标准,被各大 HTTP 代理、负载均衡等发服务广泛使用,并被写入 RFC 7239(Forwarded HTTP Extension)标准之中。X-Forwarded-For 请求头格式非常简单,就这样: X-Forwarded-For: client, prox
HTTP协议系列4】服务器日志之X_Forwarded_For
安全曼巴2020
11-14 2411
X_Forwarded_For X-Forwarded-For:简称XFF头,它代表客户端,也就是HTTP的请求端真实的IP,只有在通过了HTTP代理或者负载均衡服务器时才会添加该项。它不是RFC中定义的标准请求头信息,在squid缓存代理服务器开发文档中可以找到该项的详细介绍。Squid缓存代理服务器开发人员最早引入了这一HTTP头字段,并由IETF在Forwarded-For HTTP
HTTP_X_FORWARDED_FOR获取到的IP地址
ccfxue的博客
06-24 1万+
使用“HTTP_X_FORWARDED_FOR”获取到的IP地址,有以下几种情况。 ①没有使用代理服务器: REMOTE_ADDR = 您的 IP HTTP_VIA = 没数值或不显示 HTTP_X_FORWARDED_FOR = 无数值或不显示 ②使用透明代理服务器(Transparent Proxies): REMOTE_ADDR = 最后一个代理服务器 IP
HTTP请求头X-Forwarded-For,Remote_Addr
诗人不写诗
05-31 2457
HTTP协议定义了很多头部参数,这些参数由请求的发起方和响应方设置,所以头部参数可以分为请求头和响应头,通信双方(浏览器服务器)会去读取这些头部参数并做出对应的的动作。如果有人不按协议设置这些参数,就可以达到一些非法的目的。 X-Forwarded-For起源 xxf这个请求头,很多应用层在使用,所以这里必须要了解他的意义。X代表这是一个扩展的头参数。事实也正是如此,最开始xxf是Squid cache这个缓存代理服务软件自定义的一个头部参数,用来标识请求的源IP。后来,xxf的使用范围越来越广泛,被
HTTP 请求头中的 Remote_Addr,X-Forwarded-For,X-Real-IP | Spring Cloud 13
gmHappy
03-08 1万+
X-Real-IP是一个自定义`Header`。`X-Real-Ip` 通常被 `HTTP` 代理用来表示与它产生 `TCP` 连接的设备 `IP`,这个设备可能是其他代理,也可能是真正的请求端。需要注意的是,`X-Real-Ip` 目前并不属于任何标准,代理和 `Web` 应用之间可以约定用任何自定义头来传递这个信息。 X-Forwarded-For(`XFF`)是用来**识别**通过**HTTP代理**或**负载均衡**方式连接到`Web`服务器客户端**最原始的`IP`地址的`HTTP`请求字段。
利用HTTP_X_FORWARDED_FOR获取客户端IP(http代理相关知识)
曾几何时
02-28 3131
Request.ServerVariables变量意义. http代理相关知识Request.ServerVariables["HTTP_VIA"]---------可以获得用户内部的ipRequest.ServerVariables["HTTP_X_FORWARDED_FOR"]---------可以知道代理服务器服务器名以及端口Request.ServerVariables["REMOTE_
nginx中的$http_x_forwarded_for是否总是能获取到真实的客户端ip
06-10
但是,如果反向代理服务器没有正确的配置 X-Forwarded-For 头部信息,或者在 HTTP 请求头中没有添加客户端的真实 IP 地址,那么 `$http_x_forwarded_for` 变量就无法获取客户端的真实 IP。在这种情况下,我们可以...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值