X-Forwarded-For 获得用户的真实ip

最新推荐文章于 2024-08-03 13:47:38 发布
最新推荐文章于 2024-08-03 13:47:38 发布
阅读量5.2k 收藏 5
点赞数 3
分类专栏: Java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/RAVEEE/article/details/81161874
版权

什么是X-Forwarded-For?

X-Forwarded-For:简称XFF头,它代表客户端,也就是HTTP的请求端真实的IP,只有在通过了HTTP 代理或者负载均衡服务器时才会添加该项。它不是RFC中定义的标准请求头信息,在squid缓存代理服务器开发文档中可以找到该项的详细介绍。标准格式如下:X-Forwarded-For: client1, proxy1, proxy2。

如何通过 X-Forwarded-For来获得用户的真实ip

java 获得用户真实 IP 代码举例: 

public String getRemoteIP(HttpServletRequest request)
{
    if (request.getHeader("X-Forwarded-For") == null) /* 存在 X-Forwarded-For 吗? */
    {
        return request.getRemoteAddr(); /* 兼容已有程序 */
    }
    
    return request.getHeader("X-Forwarded-For"); /* 返回用户真实 IP, 如为多个 IP 时, 则取第一个 */
}

 

简单来说 使用request.getRemoteAddr();  如果在用户启用了代理服务器的情况下 是无法获得真实的ip地址的

那么当使用负载均衡服务器的情况下 可以通过request.getHeader("X-Forwarded-For") 解析请求头来获得真实的ip地址

 

一杯丶冰美式
关注
专栏目录
负载均衡:x-forward-for获取客户端真实ip
weixin_30667649的博客
03-04 1972
先来看一下X-Forwarded-For的定义: X-Forwarded-For:简称XFF头,它代表客户端,也就是HTTP的请求端真实IP,只有在通过了HTTP 代理或者负载均衡服务器时才会添加该项。它不是RFC中定义的标准请求头信息,在squid缓存代理服务器开发文档中可以找到该项的详细介绍。标准格式如下: X-Forwarded-For: client1, proxy1,...
x-forward-for获取客户端真实ip
na_tion的专栏
06-22 3万+
文章来源:http://www.360doc.com/myfollow.aspx 先来看一下X-Forwarded-For的定义: X-Forwarded-For:简称XFF头,它代表客户端,也就是HTTP的请求端真实IP,只有在通过了HTTP 代理或者负载均衡服务器时才会添加该项。它不是RFC中定义的标准请求头信息,在squid缓存代理服务器开发文档中可以找到该项的
HTTP协议头中X-Forwarded-For是能做什么?
xianweijian的博客
07-01 876
只要nginx前端(例如lvs, varnish)转发请求给nginx的时候,带了x-forwarded-for ,那么程序就一定能读到这个字段,如果nginx还设置了proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for, 那么程序能读到XFF是:ip0, ip1 (客户端Ip,lvs或者varnishIP)。如果nginx没有设置,那么nginx还是会原样把http头传给程序,也就是说程序也能读到XFF,而且XFF就是ip0 客户端IP
利用X-Forwarded-For伪造客户端IP漏洞成因及防范
热门推荐
叉叉哥的BLOG
10-15 6万+
问题背景 在Web应用开发中,经常会需要获取客户端IP地址。一个典型的例子就是投票系统,为了防止刷票,需要限制每个IP地址只能投票一次。 如何获取客户端IP 在Java中,获取客户端IP最直接的方式就是使用request.getRemoteAddr()。这种方式能获取到连接服务器的客户端IP,在中间没有代理的情况下,的确是最简单有效的方式。但是目前互联网Web应用很少会将应用服务器直接对外提...
web站点获取用户IP的安全方法 HTTP_X_FORWARDED_FOR检验
weixin_30686845的博客
05-31 104
通过上一篇,获取用户Ip地址通用方法常见安全隐患(HTTP_X_FORWARDED_FOR),我们已经意 识到直接从http_x_forwarded_for中读取用户IP,跟我们直接从一个get,post值中读取其实没有两样。web参数检测里面一个基本原则:“一切输入都是有害的”,因此,只要是输入我们就需要进行过滤。 安全过滤后的getIP函数 func...
X-Forwarded-For的一些理解
weixin_34239169的博客
02-06 824
X-Forwarded-For 是一个 HTTP 扩展头部,主要是为了让 Web 服务器获取访问用户真实 IP 地址(其实这个真实未必是真实的,后面会说到)。 那为什么 Web 服务器只有通过 X-Forwarded-For 头才能获取真实IP?这里用 PHP 语言来说明,不明白原理的开发者为了获取客户 IP,会使用 $_SERVER['REMOTE_ADDR'] 变量,这个服务器变量表示和...
从Header中X-Forwarded-For获取的IP一定是真实IP吗?
java的平凡之路
05-31 8182
前言 在实际项目中,用户ip的获取很重要。通过报障用户ip来快速定位用户的请求日志,还可以通过ip访问频率来进行防盗链处理。在有些项目中,比如之前我们说过的升级,通过用户ip尾号进行一部分用户的灰度升级,还比如通过ip来区分用户的地域,进行个性化的推荐等。一般获取ip的方式。都是通过Header中的X-Forward-For、X-Real-IP或Remote addr等属性获取,但是如果确保获...
Chrome插件:X-Forwarded-For Header
12-15
`X-Forwarded-For`(简称XFF)头是一个在HTTP协议中广泛使用的非标准头,它用于记录客户端的真实IP地址,特别是在通过代理服务器或负载均衡器访问Web服务时。 **X-Forwarded-For Header 描述** 在描述中提到的“X-...
X-Forwarded-For的客户端IP
zzhongcy的专栏
09-07 395
让我们总结一下我们学到的一些东西、我们获得的智慧以及我们形成的观点:左边是危险,右边是信任。也许在某些情况下可以使用最左边的 XFF IP,但必须非常小心。如果有任何疑问,请使用最右边的。任何不是由您自己的反向代理设置的标头(或任何标头的任何部分)从根本上来说都是不可信的。将一个特殊的标头设置为一个有用的值,但如果它已经设置了就让它通过,这是一个糟糕的主意。(请参阅:Akamai、Fastly。如果没有普遍合理的默认值,就不应该有默认值。而“获取真实IP”是没有合理默认值的情况。
python伪造请求头x-forwarded-for的作用_利用X-Forwarded-For伪造客户端IP漏洞成因及防范...
weixin_39984403的博客
12-22 844
问题背景在Web应用开发中,经常会需要获取客户端IP地址。一个典型的例子就是投票系统,为了防止刷票,需要限制每个IP地址只能投票一次。如何获取客户端IP在Java中,获取客户端IP最直接的方式就是使用request.getRemoteAddr()。这种方式能获取到连接服务器的客户端IP,在中间没有代理的情况下,的确是最简单有效的方式。但是目前互联网Web应用很少会将应用服务器直接对外提供服务,一般...
python伪造请求头x-forwarded-for的作用_python3-requests伪造x-forwarded-for以及解决
weixin_39864489的博客
12-22 1238
通常,我们的服务器会有一级或者多级的反向代理, 因此我们代码中拿remote_addr会取到最后一级反向代理的ip。为了拿到真实ip,常常会去x-Forward-For中拿用户最后一级代理Ip。但是由于该值是header中的, 直接去取可能取到用户伪造的Ip。这一HTTP头一般格式如下:X-Forwarded-For: client1, proxy1, proxy2其中的值通过一个 逗号+空格 把...
微服务通过X-Forwarded-For获取客户端最原始的IP地址
iOS逆向与安全
08-03 268
X-Forwarded-For是用于记录代理信息的,每经过一级代理,该字段就会记录来源地址,经过多级代理,服务端就会记录每级代理的X-Forwarded-For信息,IP之间以“,”分隔开。MDC是一个线程安全的存放诊断日志的容器,MDC的底层是用了ThreadLocal来保存数据的,我们可以用它传递参数。请求头字段X-Real-IP,记录真实发出请求的客户端IP。获取X-Forwarded-For中的第一个IP,就是用户真实IP。方法用于从当前线程的上下文中获取特定的键值。
HTTP_X_FORWARDED_FOR获取到的IP地址
m0_37477061的博客
03-05 572
https://blog.csdn.net/ccfxue/article/details/73693477
4-Web安全——通过x-forward-for获取真实ip(入侵溯源)
网络安全
03-28 6191
参考资料:44-http协议 x-forward-for是http请求的一个字段,该字段表示客户端的IP地址,一般称为“XXF”头,服务端通过这个头可以知道客户端的真实或代理IP。x-forward-for字段虽然没有写入RFC标准,但已经应用到http协议中成为一个实施标准了。 x-forward-for字段的格式为: x-forward-for:client1,proxy1,proxy2,proxy3 该字段的ip地址值以逗分隔,其中client1代表真实的客户端的ip地址,...
Tomcat 获取客户端真实IP X-Forwarded-For
weixin_44021888的博客
04-10 973
Tomcat 获取客户端真实IP X-Forwarded-For
nginx-通过X-Forwarded-For获取客户端真实IP
qq522044637的博客
10-09 6717
通过X-Forwarded-For获取客户端真实IP
论X-Forwarded-For伪装代理请求与获取真实ip(springboot项目)
外柏叁布道者
03-26 5245
以下项目均是基于springboot2.x构建 1、使用X-Forwarded-For 伪装代理 之前做了一个项目,关于xxx抢购,当时是用spring boot做的,主要功能就是实现模拟真实用户登录、抢购等一整套自动化流程。 刚开始可以多任务执行,后面可能是被发现了,导致从服务器发出的抢购请求被限制(因为同一个出口ip),后来为了解决这个问题,找到了X-Forwarded-For 这个...
你确信 X-Forwarded-For 拿到的就是用户真实 IP 吗?
gman344的博客
07-18 1008
X-Forwarded-For 拿到的就是真实 IP 吗? 1.故事 在这个小节开始前,我先讲一个开发中的小故事,可以加深一下大家对这个字段的理解。 前段时间要做一个和风控相关的需求,需要拿到用户IP,开发后灰度了一小部分用户,测试发现后台日志里灰度的用户 IP 全是异常的,哪有这么巧的事情。随后测试发过来几个异常 IP: 10.148.2.12210.135.2.3810.149.12.33... 一看 IP 特征我就明白了,这几个 IP 都是 10 开头的,属于 A 类 IP 的私有 IP 范围(.
IIS调用X-Forwarded-For Header (XFF)记录访客真实IP
hzfw2008的博客
03-24 3961
问题:通过IIS发布的网站放到F5设备后边,通过透明监听模式WAF设备过滤后,公网访问者的真实IP被WAF设备IP替代,在网站日志看不到原来的真实IP了。 处理方案1:利用第三方IIS插件调用X-Forwarded-For获得来访者的真实IP,解决IIS放在f5后记录不到用户ip的问题。 处理方案2:使用微软官方的高级日志模块功能调用X-Forwarded-For记录真实IP; 请注意,以上2...
caddy X-Real-IP X-Forwarded-For 设置
最新发布
09-19
在Caddy中,`X-Real-IP` 和 `X-Forwarded-For` 是两个常见的HTTP头部字段,它们用于传递客户端的真实IP地址信息,尤其是在Nginx和Caddy等基于代理的服务器架构中。这两个字段可以帮助服务器识别出经过多次跳转后的原始客户端地址。 - `X-Real-IP`:这个字段通常由底层网络设备或代理服务器设置,包含了原始发送请求的客户端IP地址。如果Caddy本身处理了IP透传,那么`X-Real-IP`可能会显示代理服务器的IP而不是客户端的IP。 - `X-Forwarded-For`:这个字段是一个逗号分隔的列表,从客户端开始,包含所有中间代理的IP地址,最后一个是真正发起请求的客户端的IP。每个代理在添加其自身IP到该字段之前都会删除最后一个逗号及后面的值。 要在Caddy中设置这些字段,你可以在特定路由前加上如下配置: ```text localhost:80 { header X-Real-IP $remote_addr header X-Forwarded-For $forwarded_for proxy / http://example.com { ... } } ``` 这里 `$remote_addr` 表示实际客户端的IP,`$forwarded_for` 则表示代理链路的IP列表。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值