小谈X-Forwarded-For

最新推荐文章于 2024-05-10 00:22:14 发布
最新推荐文章于 2024-05-10 00:22:14 发布
阅读量1k 收藏 2
点赞数
分类专栏: 网络 文章标签: http

实际开发中我们经常会需要获取用户的ip地址,http的请求头X-Forwarded-For一般能为我们达到此目的。

X-Forwarded-For 请求头格式:(示例如下)

X-Forwarded-For: ip0, ip1, ip2

这个 就表示用户真实ip地址为ip0,然后经过ip1的代理和ip2的代理才请求过来的。最后一层的代理是没有在X-Forwarded-For中出现的,最后一层代理的ip地址可以通过 Remote Address 来获取,这个 Remote Address 是用于tcp三次连接的无法伪造。

结论:

  • 直接对外提供服务的 Web 应用,在进行与安全有关的操作时,只能通过 Remote Address 获取 IP,不能相信任何请求头;
  • 使用 Nginx 等 Web Server 进行反向代理的 Web 应用,在配置正确的前提下,要用 X-Forwarded-For 最后一节 或 X-Real-IP 来获取 IP(因为 Remote Address 得到的是 Nginx 所在服务器的内网 IP);同时还应该禁止 Web 应用直接对外提供服务;
  • 在与安全无关的场景,例如通过 IP 显示所在地天气,可以从 X-Forwarded-For 靠前的位置获取 IP,但是需要校验 IP 格式合法性;

注意的地方
直接对外发布服务的话,用户是可以伪造X-Forwarded-For字段内容的,但是经过nginx这种服务器的转发加工处理(反向代理),一般都是可以通过nginx获取到真实ip地址(X-Forwarded-For字段的最后一节的内容)的。

本博客内容借鉴于一篇优秀的博客介绍

Healist
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
X-Forwarded-For火狐插件
01-10
X-Forwarded-For火狐插件
Chrome插件:X-Forwarded-For Header
12-15
标题“Chrome插件:X-Forwarded-For Header”揭示了本文将深入探讨一个专门针对Google Chrome浏览器的扩展应用,该插件的主要功能是处理和设置HTTP头中的`X-Forwarded-For`字段。`X-Forwarded-For`(简称XFF)头是一...
4-Web安全——通过x-forward-for获取真实ip(入侵溯源)
网络安全
03-28 6019
参考资料:44-http协议 x-forward-for是http请求的一个字段,该字段表示客户端的IP地址,一般称为“XXF”头,服务端通过这个头可以知道客户端的真实或代理IP。x-forward-for字段虽然没有写入RFC标准,但已经应用到http协议中成为一个实施标准了。 x-forward-for字段的格式为: x-forward-for:client1,proxy1,proxy2,proxy3 该字段的ip地址值以逗分隔,其中client1代表真实的客户端的ip地址,...
X-Forwarded-For
yuange
04-25 6764
问题背景 在Web应用开发中,经常会需要获取客户端IP地址。一个典型的例子就是投票系统,为了防止刷票,需要限制每个IP地址只能投票一次。 如何获取客户端IP 在Java中,获取客户端IP最直接的方式就是使用request.getRemoteAddr()。这种方式能获取到连接服务器的客户端IP,在中间没有代理的情况下,的确是最简单有效的方式。但是目前互联网Web应用很少会将应用服务器直接对外提...
【CTF Web】XCTF GFSJ0481 xff_referer Writeup(HTTP协议+XFF伪造+Referer伪造)
最新发布
HEX9CF的技术博客
05-10 1104
X老师告诉小宁其实xff和referer是可以伪造的。
正向代理,反向代理,nginx负载均衡,X-forward-for
qq_35370923的博客
11-02 772
正向代理:访问一个网站,之前访问另一服务器,这个服务器代替我们访问,然后把结果返回给我们。 反向代理:服务器端在接收请求之前,一般通过nginx负载均衡向多个服务器转发请求。 nginx负载均衡: nginx作为一个比较高效的http请求处理软件,可以用它接受某个服务器地址的所有请求,再根据配置的权重将这些请求转发到其他服务器,防止一个服务器处理高并发的请求出现宕机问题。 X-forward-fo...
获取http请求者ip(nodejs-express)
热门推荐
Andy Tools
11-07 1万+
今天想找一个安全生成sessionid的方案,随后想到应该检测请求方ip,这时才发现这里是一片知识的盲区。随即整理学习。 文章目录1 原理1.1 Remote Address1.2 存在代理 X-Forwarded-For1.2.1 实现逻辑1.2.2 X-Forwarded-For1.3 确保请求者ip是真实的而不是伪造的1.3.1 对于安全性要求较高的行为1.3.2 对于安全要求较低的行为2 ...
Nginx【多级代理透传真是IP】
L596462013的博客
06-19 2308
【代码】Nginx【多级代理透传真是IP】
X-Forwarded-For Header-crx插件
04-02
此扩展允许您快速更新X-Forwarded-For,X-Originating-IP,X-Remote-IP和X-Remote-Addr HTTP标头,以进行各种测试。 变更日志:v0.6.2-修复了干扰此扩展的Firefox版本的错误v0.6.1-修复了CORS预检请求的问题v0.6.0-...
X-Forwarded-For Header_0.6.2_0.zip
08-24
此扩展允许您快速更新各种 X-Forwarded-For、X-Originating-IP、X-Remote-IP 和 X-Remote-Addr HTTP 标头 打开Chrome浏览器的扩展程序: 地址栏直接输入:chrome://extensions/ 把下载到的文件解压后,点击加载已...
forwarded:解析HTTP X-Forwarded-For标头
05-11
从请求中解析X-Forwarded-For标头。 以相反的顺序返回地址数组,包括req的套接字地址(即索引0是套接字地址,最后一个索引是最远的地址,通常是最终用户)。 测验 $ npm test 执照 麻省理工学院
F5配置手册(内部专用)
05-04
配置手册(内部)整个数据网络设备,采用两台防火墙、两台BIG-IP 3400负载均衡器、及两台交换机、网络设备都采用主、备设备,以实现设备、链路的冗余备份,以消除单点故障。
X-Forwarded-For注入漏洞实战
Language_Sumuzhe的博客
05-23 7609
题目:X-Forwarded-For注入漏洞实战 知识点: 是HTTP请求头中XFF的伪造和应用,是一道借用XFF来爆破数据库、表、列以及列值的题目。先输入账户为admin,密码为123456进行登录尝试,出现了弹窗,仔细观察弹窗会发现类似IP地址格式的112.111.12.126数据存在,猜测这是服务端记录并显示了客户端的IP地址。 首先了解服务端如何获取客户端请求IP地址? 服务端获取客户端请求IP地址,常见的包括:x-forwarded-for、client-ip等请求头,以及remote_add
php代码审计之x-forwarded-for注入漏洞
cj_Hydra's Blog
02-06 1874
前言: x-forwarded-for大家应该都不陌生,是用来获取客户端的ip地址的,在实际开发应用中也是非常广泛的,今天这篇博客的主要内容就是x-forwarded-for注入xss代码来获得管理员cookie。 审计的源码还是上次install.php重装漏洞的源码。 步骤: 1.访问正常用户登录页面如下:2.找到源码中对应的文件进行审计,代码如下: <?php include_once...
XXF(x-forwarded-for)
qq_41851849的博客
03-06 237
HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器该网页是从哪个页面链接过来的,服务器因此可以获得一些信息用于处理。TCP/IP层面的IP伪造很难实现,因为更改后很难实现正常的TCP通信,但在HTTP层面的伪造就显得很容易。,让我们伪造xff和referer,burp中repeter模块修改了题目指定的xff和referer。2:用burp抓包,发送到repeater模块进行增加,修改(ps:referer也可以修改。
X-Forwarded-For是怎么来的
servepeople的博客
07-18 441
X-Forwarded-For 由来
apache反向代理tomcat时x-forwarded-for为null的问题
老发的记录本
11-19 9881
apache 在用ProxyPass时会自动在header中设置X-Forwarded-For X-Forwarded-Host和X-Forwarded-Server 如果tomcat后端不做设置, 在jsp中用out.println("x-forwarded-for:" + request.getHeader("x-forwarded-for") + "");能获取到客户ip, 但是为了
关于 X-Forward-
e5pool的博客
02-19 1669
刚刚有个需求,如何获取访问者的真实IP,找到一个方法,可以通过请求头里的 X-Forwarded-For 字段来获取到。然后就了解下 X-Forward- 的细节。
X-Forwarded-For的一些理解
weixin_34239169的博客
02-06 814
X-Forwarded-For 是一个 HTTP 扩展头部,主要是为了让 Web 服务器获取访问用户的真实 IP 地址(其实这个真实未必是真实的,后面会说到)。 那为什么 Web 服务器只有通过 X-Forwarded-For 头才能获取真实的 IP?这里用 PHP 语言来说明,不明白原理的开发者为了获取客户 IP,会使用 $_SERVER['REMOTE_ADDR'] 变量,这个服务器变量表示和...
nginx X-Forwarded-For
07-28
Nginx中的X-Forwarded-For是一个HTTP请求头,它用于指示原始客户端的IP地址。当请求通过代理服务器或负载均衡器时,X-Forwarded-For头可以帮助服务器获取真实的客户端IP地址。 在Nginx配置中,可以使用proxy_set_header指令来设置X-Forwarded-For头。例如,可以使用以下配置将客户端的IP地址设置为X-Forwarded-For头的值: ``` location / { proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_pass http://backend; } ``` 在这个例子中,$proxy_add_x_forwarded_for变量将会包含原始客户端的IP地址,并将其设置为X-Forwarded-For头的值。这样,后端服务器就可以通过读取X-Forwarded-For头来获取真实的客户端IP地址。 需要注意的是,X-Forwarded-For头的值可以被伪造,因此在使用该值进行身份验证或安全相关的操作时需要谨慎处理。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值