小谈X-Forwarded-For

最新推荐文章于 2024-05-10 00:22:14 发布
最新推荐文章于 2024-05-10 00:22:14 发布
阅读量1k 收藏 2
点赞数
分类专栏: 网络 文章标签: http

实际开发中我们经常会需要获取用户的ip地址,http的请求头X-Forwarded-For一般能为我们达到此目的。

X-Forwarded-For 请求头格式:(示例如下)

X-Forwarded-For: ip0, ip1, ip2

这个 就表示用户真实ip地址为ip0,然后经过ip1的代理和ip2的代理才请求过来的。最后一层的代理是没有在X-Forwarded-For中出现的,最后一层代理的ip地址可以通过 Remote Address 来获取,这个 Remote Address 是用于tcp三次连接的无法伪造。

结论:

  • 直接对外提供服务的 Web 应用,在进行与安全有关的操作时,只能通过 Remote Address 获取 IP,不能相信任何请求头;
  • 使用 Nginx 等 Web Server 进行反向代理的 Web 应用,在配置正确的前提下,要用 X-Forwarded-For 最后一节 或 X-Real-IP 来获取 IP(因为 Remote Address 得到的是 Nginx 所在服务器的内网 IP);同时还应该禁止 Web 应用直接对外提供服务;
  • 在与安全无关的场景,例如通过 IP 显示所在地天气,可以从 X-Forwarded-For 靠前的位置获取 IP,但是需要校验 IP 格式合法性;

注意的地方
直接对外发布服务的话,用户是可以伪造X-Forwarded-For字段内容的,但是经过nginx这种服务器的转发加工处理(反向代理),一般都是可以通过nginx获取到真实ip地址(X-Forwarded-For字段的最后一节的内容)的。

本博客内容借鉴于一篇优秀的博客介绍

Healist
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
X-Forwarded-For
ChanCherry的博客
04-09 874
简称XFF头,它代表客户端,也就是HTTP的请求端真实的IP,只有在通过了HTTP 代理或者负载均衡服务器时才会添加该项(百度百科:用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段)。 如果没有XFF或者另外一种相似的技术,所有通过代理服务器的连接只会显示代理服务器的IP地址,而非连接发起的原始IP地址,这样的代理服务器实际上充当了匿名服务提供者...
X-Forwarded-For火狐插件
01-10
X-Forwarded-For火狐插件
4-Web安全——通过x-forward-for获取真实ip(入侵溯源)
网络安全
03-28 6019
参考资料:44-http协议 x-forward-for是http请求的一个字段,该字段表示客户端的IP地址,一般称为“XXF”头,服务端通过这个头可以知道客户端的真实或代理IP。x-forward-for字段虽然没有写入RFC标准,但已经应用到http协议中成为一个实施标准了。 x-forward-for字段的格式为: x-forward-for:client1,proxy1,proxy2,proxy3 该字段的ip地址值以逗分隔,其中client1代表真实的客户端的ip地址,...
X-Forward-For和Referer的相关知识点
qq_43511094的博客
03-21 1896
X-Forward-For和RefererX-Forward-ForReferer 前言 X-Forward-For和Referer通常出现在请求头环节,因为有些服务器会有求必须是特定的Referer或者特定的X-Forward-For,所以我们抓包之后要自己加入这两个参数,并修改他们的值 X-Forward-For X-Forwarded-For:简称XFF头,它代表客户端,也就是HTTP的请求端最真实的IP。只有在通过了HTTP 代理或者负载均衡服务器时才会添加该项。它不是RFC中定义的标准请求头信
【CTF Web】XCTF GFSJ0481 xff_referer Writeup(HTTP协议+XFF伪造+Referer伪造)
最新发布
HEX9CF的技术博客
05-10 1104
X老师告诉小宁其实xff和referer是可以伪造的。
使用nginx后如何在web应用中获取用户ip及原理解释
臻心依旧
08-28 2398
http://gong1208.iteye.com/blog/1559835   使用nginx后如何在web应用中获取用户ip及原理解释                                                                                                  -------gongyong   问题背景: 在实际
请求头XForwardForXRealFor详解
m0_37642477的博客
03-04 2000
title: 请求头X-Forward-For、X-Real-For详解 date: ‘2020-11-26 00:29:47’ updated: ‘2020-11-26 00:29:47’ tags: [linux] permalink: /articles/2020/11/26/1606321787218.html X-Forward-For 在使用nginx做反向代理时,我们为了记录整个的代理过程,我们往往会在配置文件中做如下配置: http { ......... log_forma
x-forward-for详解
真理部
10-09 1万+
http://www.cnblogs.com/xdjackfeng/p/3514120.htmlx-forward-for
Chrome插件:X-Forwarded-For Header
12-15
标题“Chrome插件:X-Forwarded-For Header”揭示了本文将深入探讨一个专门针对Google Chrome浏览器的扩展应用,该插件的主要功能是处理和设置HTTP头中的`X-Forwarded-For`字段。`X-Forwarded-For`(简称XFF)头是一...
X-Forwarded-For Header-crx插件
04-02
此扩展允许您快速更新X-Forwarded-For,X-Originating-IP,X-Remote-IP和X-Remote-Addr HTTP标头,以进行各种测试。 变更日志:v0.6.2-修复了干扰此扩展的Firefox版本的错误v0.6.1-修复了CORS预检请求的问题v0.6.0-...
X-Forwarded-For Header_0.6.2_0.zip
08-24
此扩展允许您快速更新各种 X-Forwarded-For、X-Originating-IP、X-Remote-IP 和 X-Remote-Addr HTTP 标头 打开Chrome浏览器的扩展程序: 地址栏直接输入:chrome://extensions/ 把下载到的文件解压后,点击加载已...
forwarded:解析HTTP X-Forwarded-For标头
05-11
从请求中解析X-Forwarded-For标头。 以相反的顺序返回地址数组,包括req的套接字地址(即索引0是套接字地址,最后一个索引是最远的地址,通常是最终用户)。 测验 $ npm test 执照 麻省理工学院
x-forward-for和逻辑漏洞
weixin_48776804的博客
02-15 851
x-forward-forX-Forwarded-For逻辑漏洞 X-Forwarded-For (XFF)是用来识别ip地址 使用sqlmap跑 包的内容 POST /index.php HTTP/1.1 Host: 219.153.49.228:42344 X-Forwarded-For:127.0.0.1* User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:83.0) Gecko/20100101 Firefox/83.0 Accept:
HTTP 请求头中的 X-Forwarded-For(XFF)
热门推荐
义臻的博客
03-12 3万+
在Java代码实践中,有两种方式可以从HTTP请求中获得请求者的IP地址。一个是从Remote Address中获得,另一个是从X-Forward-For中获得,但他们的安全性和使用场景各有不同。一旦用错,就可能为系统造成漏洞。因此,需要开发者对这两个参数深入的理解。 Remote Address代表的是当前HTTP请求的远程地址,即HTTP请求的源地址。HTTP协议在三次握手时使用的就是这个R...
HTTP 请求头中的 X-Forwarded-For
赶路人儿
08-01 2万+
通过名字就知道,X-Forwarded-For 是一个 HTTP 扩展头部。HTTP/1.1(RFC 2616)协议并没有对它的定义,它最开始是由 Squid 这个缓存代理软件引入,用来表示 HTTP 请求端真实 IP。如今它已经成为事实上的标准,被各大 HTTP 代理、负载均衡等转发服务广泛使用,并被写入 RFC 7239(Forwarded HTTP Extension)标准之中。X-Forwarded-For 请求头格式非常简单,就这样: X-Forwarded-For: client, prox
墨者学院 X-Forwarded-For注入漏洞实战
crasher123的博客
06-19 1723
SQLMap是一个基于Python编写的工具,因此需要安装Python。可以从Python官方网站下载Python安装包,也可以使用包管理器进行安装。如果Python已经安装,则会显示Python的版本号。请求信息中多加一条X-Forwarded-For:*得到库表名user和login,继续攻击user表。运行后会显示SQLMap的欢迎信息和命令行帮助。得到数据库名称为webcalender,进行扫描。安装burpsuite和sqlmap。2.安装Python。4.运行SQLMap。
正向代理,反向代理,nginx负载均衡,X-forward-for
qq_35370923的博客
11-02 771
正向代理:访问一个网站,之前访问另一服务器,这个服务器代替我们访问,然后把结果返回给我们。 反向代理:服务器端在接收请求之前,一般通过nginx负载均衡向多个服务器转发请求。 nginx负载均衡: nginx作为一个比较高效的http请求处理软件,可以用它接受某个服务器地址的所有请求,再根据配置的权重将这些请求转发到其他服务器,防止一个服务器处理高并发的请求出现宕机问题。 X-forward-fo...
获取http请求者ip(nodejs-express)
Andy Tools
11-07 1万+
今天想找一个安全生成sessionid的方案,随后想到应该检测请求方ip,这时才发现这里是一片知识的盲区。随即整理学习。 文章目录1 原理1.1 Remote Address1.2 存在代理 X-Forwarded-For1.2.1 实现逻辑1.2.2 X-Forwarded-For1.3 确保请求者ip是真实的而不是伪造的1.3.1 对于安全性要求较高的行为1.3.2 对于安全要求较低的行为2 ...
nginx X-Forwarded-For
07-28
当请求通过代理服务器或负载均衡器时,X-Forwarded-For头可以帮助服务器获取真实的客户端IP地址。 在Nginx配置中,可以使用proxy_set_header指令来设置X-Forwarded-For头。例如,可以使用以下配置将客户端的IP地址...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值