Java防伪造ip,Nginx方法

最新推荐文章于 2024-06-27 16:34:07 发布
最新推荐文章于 2024-06-27 16:34:07 发布
阅读量2.7k 收藏 4
点赞数 1
分类专栏: Linux web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SSS_HuLiang/article/details/117922755
版权
web 同时被 2 个专栏收录
3 篇文章 0 订阅
订阅专栏
Linux
1 篇文章 0 订阅
订阅专栏

问题:

正常获取IP方法,此方式通过获取请求头的方式拿到IP

ip = request.getHeader("x-forwarded-for");

于是可以模拟在请求头添加x-forwarded-for,伪造ip发送请求,

结果Java获取到的ip为仿造后的:111.111.111.111

 

解决:配置nginx即可。

 

若项目没有使用nginx或其他代理,则只需修改代码。

String ip = request.getRemoteAddr();

public static String getIP(HttpServletRequest request) {
		// 获取真实Ip。未使用代理的情况下,若使用nginx,则获取到的是nginx的ip
		String ip = request.getRemoteAddr();

		// 若使用了nginx,则需要配置
//		proxy_set_header X-Real-IP $remote_addr;
//		proxy_set_header Host $host;
//		proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

		// 获取nginx代理前的用户Ip
//		String ip = request.getHeader("X-Real-IP");
		if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
			ip = request.getHeader("Proxy-Client-IP");
		}
		if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
			ip = request.getHeader("WL-Proxy-Client-IP");
		}
		if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
			ip = request.getHeader("HTTP_CLIENT_IP");
		}
		if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
			ip = request.getHeader("HTTP_X_FORWARDED_FOR");
		}
		if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
			ip = request.getHeader("x-forwarded-for");
		}
		//对于通过多个代理的情况,第一个IP为客户端真实IP,多个IP按照','分割
		//"***.***.***.***".length() = 15
		if (ip != null && ip.length() > 15) {
			if (ip.indexOf(",") > 0) {
				ip = ip.substring(0, ip.indexOf(","));
			}
		}
		return ip;
	}

效果:经处理,获取的ip为真实的,公司的外网IP:182.***.***.***

后续可通过真实ip进行限流

 

SSS_HuLiang
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
java 伪造http请求ip地址的方法
08-26
主要介绍了java 伪造http请求ip地址的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
java http获取真实ip 防止伪造ip
清凉zxcv的博客
07-11 5023
先说下各个常用请求头. X-Real-IPNginx的反向代理标志(只包含真实ip) x-forwarded-for 是Nginx的反向代理标志(包含真实ip和反向代理服务器地址,以“,”隔开,第一个为用户真实ip,后面的是各个层代理服务器ip) Proxy-Client-IP 是Apache的反向代理标志 WL-Proxy-Client-IP 是WebLogic的反向代理标志 下...
构建安全的Web应用:范XFF伪造攻击的策略与实践
最新发布
u013208623的博客
06-27 316
HTTP X-Forwarded-For(XFF)头部常用于识别通过HTTP代理或负载均衡器连接到Web服务器的客户端的原始IP地址。然而,XFF头部可以被伪造,攻击者可以利用这一点来隐藏其真实IP地址,进行恶意活动,如DDoS攻击、IP欺骗等。
使用Nginx后获取用户IP,以及防止伪造IP
weixin_34054866的博客
11-10 2067
文章来源《使用Nginx后如何在web应用中获取用户ip及原理解释》http://www.linuxidc.com/Linux/2012-06/63587.htm 《构造HTTP请求Header实现伪造来源IP”》http://zhangxugg-163-com.iteye.com/blog/1663687问题背景在实际应用中,我们可能需要获取用户的ip地址,比如做异地登陆...
电商课题:客户端的IP地址伪造、CDN、反向代理、获取的那些事儿
weixin_33869377的博客
09-19 479
20120917 @郑昀汇总 外界流传的JAVA/PHP服务器端获取客户端IP都是这么取的: 伪代码: 1)ip = request.getHeader("X-FORWARDED-FOR")     可伪造,参考附录A 2)如果该值为空或数组长度为0或等于"unknown",那么: ip = request.getHeader("Proxy-Client-IP") 3)如果该值为空或...
如何通过反向代理实现伪装IP
Maple
10-28 3945
首先说明什么是反向代理? 一句话解释,就是隐瞒真实IP让代理服务器IP暴露,客户在访问资源的时候,以为是从这个暴露IP获得的资源。 不好理解的话,先想想正向代理的实例——虚拟专用网络: 反向代理: 具体软件有haproxy、nginx等。 这里的图还是需要解释一下, 正向代理,被代理的是用户, 反向代理,被代理的是服务器; 正向代理,服务器看到的你的IP是代理服务器的IP,...
Java获取IP地址:request.getRemoteAddr()警惕
重生の记忆
11-05 2782
项目中需要和第三方平台接口,加了来源IP鉴权功能,测试时发现没有问题,但是部署以后发现存在问题,一直鉴权不通过,一群人抓瞎。   我找到那块的代码,跟了一遍流程发现逻辑没有啥问题,但是最终的结果却还是鉴权不通过,实在有些诡异。其基本逻辑为先取得配置的IP列表,然后通过request.getRemoteAddr()取得客户端的IP地址,做鉴权和校验,逻辑没问题,那么肯定是request.getR...
怎么获得请求ip
wmd13164306712的博客
05-06 514
Java中,获取HTTP请求的客户端IP地址通常可以通过对象来实现
LNMP详解(九)——Nginx虚拟IP实战
永远是少年
02-17 4288
今天继续给大家介绍Linux运维的相关知识,本文主要内容是Nginx的虚拟IP实战。 一、实战背景 二、虚拟IP配置 三、效果检验
登录ip BS java
03-26
此外,考虑到安全问题,应当注意过滤潜在的伪造IP地址。 总结起来,"登录IP BS Java"涉及的关键知识点包括: 1. BS架构的理解 2. Java Web开发中的Servlet和HttpServletRequest对象 3. 获取客户端IP的HTTP头字段,...
JSP 获取用户的真实IP两种实现方法详解
10-19
例如,不应对HTTP头信息中的IP地址做为完全可靠的信任依据,因为在某些情况下,恶意用户可以通过设置HTTP请求头来伪造IP地址。因此,在需要高度安全性的应用中,应结合其他安全措施,如使用HTTPS和Web应用火墙等,...
java获取用户真实ip
07-16
需要注意的是,当客户端通过Nginx等反向代理服务器连接到应用服务器时,此方法获取的将是反向代理服务器的IP地址而非客户端真实IP。 ### 处理多层代理的情况 在实际部署中,客户端的请求可能经过多层代理服务器...
nginx-1.16.1
07-14
其次,作为反向代理,Nginx 1.16.1 可能包含更精细的负载均衡策略,如轮询、最少连接数、IP哈希等,帮助企业实现更智能的服务分发,提高整体系统可用性和可靠性。此外,它还支持 SSL/TLS 加密,为网站提供安全的 ...
Java高级架构必备知识点
03-22
- **Nginx使用入门**:了解Nginx的基本使用方法。 - **Nginx负载均衡/反向代理实现**:配置Nginx实现负载均衡和反向代理。 **7.14 双十一专题-九阳真经** - **太极聚气之分布式压测平台**:构建分布式压力测试平台...
Nginx反向代理以伪装站点登录
Théo的博客
06-28 3207
最近在公司开发一个erp项目,这个项目是公司项目A下的一个子项目。需要登录以获得权限才能进入此erp系统。 例如:项目A主站:www.aaa.com erp子系统:www.aaa.com/erp/ 因此在仅调试此erp子项目的时候,由于localhost是不能保存cookie的,就遇到了一个问题,如何在没有项目A主站代码的情况下进入这个erp系统。 解决方法如下:使用ngi
java服务器获取ip 解读请求头 伪造ip
global_coding的博客
06-06 1208
java服务器获取ip 解读请求头 伪造ip
request.getRemoteAddr()取不到真实ip的解决办法
樂小伍
11-12 3123
request.getRemoteAddr() 取不到真实ip的解决办法 我们一般在服务器取客户端ip. 都是用:request.getRemoteAddr()代码就可以了 但是, 也有例外的时候。最近出现了一个问题。 就是request.getRemoteAddr() 取不到真实ip了。。 request.getRemoteAddr()这种方法在大部分情况下都是有效的。 但是在通过了Apache...
Python爬虫实战—— Request对象之header伪装策略
WoLykos
12-21 2915
在header当中,我们经常会添加两个参数——cookie 和 User-Agent,来模拟浏览器登录,以此提高绕过后台服务器反爬策略的可能性。 User-Agent获取 User-Agent可通过随机发送请求并进入开发者工具来提取。 在这里,我也已经采集了一堆User-Agent,并写成一个能随机获取User-Agent的user_agent.py文件(可直接使用): import rando...
request.getRemoteAddr() 获取客户端IP的陷阱
我们轻松了,并不是生活越来越容易了,而是我们越来越强
03-01 719
如服务器使用了反向代理,request.getRemoteAddr() 获取的ip将是127.0.0.1或者其他,解决方法如下: [code="java"] public String getRemortIP(HttpServletRequest request) { if (request.getHeader("x-forwarded-for") == null) { ...
nginx反向代理java获取ip
03-28
要在nginx反向代理java应用程序时获取客户端IP地址,可以使用X-Forwarded-For头。 在nginx配置文件中,需要添加以下行: ``` proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; ``` 然后,在Java...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值