使客户端无法通过修改x_forwarded_for的值伪造IP

最新推荐文章于 2023-04-21 18:21:26 发布
最新推荐文章于 2023-04-21 18:21:26 发布
阅读量358 收藏
点赞数 2
文章标签: 服务器 运维 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a13215211374/article/details/128465173
版权

后端代码 使用 request.getHeader(x_forwarded_for)获取ip时,如果客户端伪造x_forwarded_for的ip就获取不到真实的ip

怎样保证在后端代码不改动的情况下使得x_forwarded_for为真实的ip呢

在 nginx 配置如下,以下是自己的瞎研究 ,查看多数资料 大部分配置都是加上这样的配置

        location ^~ /your-service/ {
                proxy_set_header        X-Real-IP       $remote_addr;
                proxy_set_header        X-Forwarded-For $proxy_add_x_forwarded_for;
                proxy_pass http://localhost:60000/your-service/;
        }

但这样如果不改动后端代码 获取的值还是伪造的ip,修改配置

$remote_addr 获取真实的ip,然后赋值到X-Forwarded-For

测试结果是 代码获取到了真实的ip

 

如有错误,请多多包含

我是一只小小黄
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
linux宝塔拉黑ip,宝塔面板6.X-shell脚本,自动拉黑恶意IP到Cloudflare防火墙
weixin_34159899的博客
05-07 637
宝塔面板免费版本足够用了,所以大鸟从来也不去折腾什么开新版本,当然了土豪可以购买专业版,但是对于大鸟这等屌丝来说,免费版真的是足够好用,如果我们动手能力稍微强一点,那么使用起来和专业版也是没有什么差别的,而且都是自己动手,这样对于提高自己的服务器水平还是很有帮助的。关于Cloudflare大鸟也讲过不少了,不过今天还是要说的是它,如果我们的网站遭遇CC和DDoS攻击时,我们可以启用Cloudfla...
解决:伪造X-Forwarded-For
qq_28915045的博客
03-07 4260
目前很多Web 应用(例如获取用户所在地区,基于 IP 做访问频率控制,禁止某些IP访问等等),为了获取用户真正的 IP,从 HTTP 请求头中获取 IP地址。这些情况下,必须确保获取到的IP地址是真实可靠的。 经过前面的分析和测试,1.对于直接使用的 Web 应用,必须使用从TCP连接中得到的 Remote Address,才是用户真实的IP;2.对于使用 nginx 反向代理服务器的Web应用,nginx必须使用Remote Address正确配置set Headers,后服务器则使用nginx传过来
X-Forwarded-For
yuange
04-25 6687
问题背景 在Web应用开发中,经常会需要获取客户IP地址。一个典型的例子就是投票系统,为了防止刷票,需要限制每个IP地址只能投票一次。 如何获取客户IP 在Java中,获取客户IP最直接的方式就是使用request.getRemoteAddr()。这种方式能获取到连接服务器的客户IP,在中间没有代理的情况下,的确是最简单有效的方式。但是目前互联网Web应用很少会将应用服务器直接对外提...
nginx X-Forwarded-For头伪造漏洞及防范
LOOPY_Y的博客
02-19 3251
X-Forwarded-For 作为 HTTP 请求的扩展头,在请求的过程中可以被直接的进行修改。本人讲述如何通过nginx的配置进行防范
Hackergame 2021 Web题3 FLAG 助力大红包 题解(修改X-Forwarded-For)
Landasika的博客
10-31 470
本人小白入门,不到之处请大侠指点!!! 首先我们需要知道X-Forwarded-For是用来干啥的:HTTP X-Forwarded-For 介绍 | 菜鸟教程 简单来说: X-Forwarded-For:简称XFF头,它代表客户,也就是HTTP的请求真实的IP,只有在通过了HTTP 代理或者负载均衡服务器时才会添加该项 HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器我是从哪个页面链接过来的。 有了以上基础知识
使用X-Forwarded-For字段修改报文请求ip
weixin_33769207的博客
01-10 2175
(1)访问的原始网页显示,只要求127.0.0.1ip访问(2)获取的完整报文请求为 (3)我们将其修改,加上x-forworded-for字段 GET /from.php HTTP/1.1 Host: 192.168.0.103 Cache-Control: max-age=0 User-Agent: Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36...
Asp.net获取客户IP常见代码存在的伪造IP问题探讨
10-27
2. **检查代理列表**:如果确定使用代理,维护一个可信的代理IP列表,只接受来自列表中的`HTTP_X_FORWARDED_FOR`。 3. **限制伪造**:可以通过防火墙规则或Web服务器配置,阻止或限制不合理的`...
易语言伪造请求ip 伪造请求ip 网页访问伪造ip
03-09
结合HTTP扩展请求头 X-Forwarded-For 可以对客户IP进行伪造 X-Forwarded-For 是一个 HTTP 扩展头部,用来表示HTTP请求真实 IP,HTTP/1.1 协议并没有对它的定义,但现如今X-Forwarded-For已被各大 HTTP 代理、...
php 获取客户的真实ip
10-29
总结来说,获取客户真实IP在PHP中可以通过检查`REMOTE_ADDR`、`HTTP_CLIENT_IP`和`HTTP_X_FORWARDED_FOR`等HTTP头部信息实现。在使用代理服务器的情况下,`HTTP_X_FORWARDED_FOR`通常是获取真实IP的关键,但要谨慎...
java 伪造http请求ip地址的方法
08-26
这样,在服务器,可以通过 `request.getHeader("x-forwarded-for")` 获取到伪造IP 地址。 需要注意的是,伪造 IP 地址并不是真正地修改客户IP 地址,而是通过修改 HTTP 请求头中的信息来欺骗服务器。...
伪造 X-Forwarded-For
zpf_07的博客
09-19 1495
简单粗暴上代码!import random import requestsip_address = ['125.92.32.81', '125.92.32.82', '125.92.32.83']headers = {"Accept": "text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8", "Acc
Nginx安全防范从配置做起
Listen2You的博客
09-03 516
导读 经常会有针对某个版本的nginx安全漏洞出现,隐藏nginx版本号就成了主要的安全优化手段之一,当然最重要的是及时升级修复漏洞。 隐藏版本号 http{ server_tokensoff; } 经常会有针对某个版本的nginx安全漏洞出现,隐藏nginx版本号就成了主要的安全优化手段之一,当然最重要的是及时升级修复漏洞。 开启HTTPS ser...
宝塔Linux面板Nginx反向代理配置方法
热门推荐
qq_32421489的博客
02-04 6万+
Nginx作为web服务器一个重要的功能就是高性能反向代理。当然你也可以使用Nginx配置正向代理,本文是介绍如何通过宝塔主机面板的网站配置nginx的反向代理。nginx反向代理的指令不需要新增额外的模块,默认自proxy_pass指令,只需要修改配置文件就可以实现反向代理。 首先在代理的机器上加入,你要进行反代的域名↓(如图所示) 然后在返回面板,点击网站设置刚刚你要反代的域名点击反向代理,$host是表示,任意的比如1.bt.cn,2.bt.cn,3.bt.cn都是按照域名的主机头来的,也可以.
如何实时监测分析X-Forwarded-For伪造
NetInside__的博客
05-09 1075
什么是X-Forwarded-For 如果要问当下最走红的应用层协议,当HTTP莫属,一个无状态维护协议,其连接基于TCP,在HTTP协议头部没有IP地址字段。所以,如果要在应用层保存IP地址信息(应用服务器统计访问者信息的主要来源之一),只能通过X-Forwarded-For头部字段来实现。 X-Forwarded-For位于HTTP协议的请求头部,属于HTTP的头部扩展。在HTTP/1.1(R...
X-Forwarded-For客户IP获取和伪造
weixin_42159569的博客
04-21 697
背景:我在做一个数据查询系统,有些高敏感数据信息,正常访问项目是无权限查看的。唯一的查看途径就是通过Citrix去访问。这时候就需要通过获取客户地址(X-Forwarded-For)来判定是否Citrix环境。问题:项目是微前架构,属于主应用中的一个子应用,前资源和接口请求走了几层nginx(我的项目无权改配置),所以X-Forwarded-For中会有多个,判断不够准确。最终方案:最终我们选择了拿到所有的X-Forwarded-For,看是否包含Citrix的ip来解决!
X-Forwarded-For 客户 IP 伪造过程及防范
笑忘哭的博客
01-18 7452
最近收到一条安全漏洞报告,通过利用代码漏洞,并结合HTTP扩展请求头 X-Forwarded-For 可以对客户IP进行伪造,以达到非法目的。下面我将对这个漏洞进行介绍。 X-Forwarded-For 介绍 X-Forwarded-For 是一个 HTTP 扩展头部,用来表示HTTP请求真实 IP,HTTP/1.1 协议并没有对它的定义,但现如今X-Forwarded-For已被各大 HTTP 代理、负载均衡等转发服务广泛使用。 X-Forwarded-For 请求头格式: X-Forwarded-
java防止xff伪造ip
dinghongyu520的博客
05-17 1639
背景 现在大厂的代码都有安全测评,在渗透测试时可能用会使用改变x-forwarded-for的伪造客服IP,网上常见的配置nginx解决,但对于有的不使用nginx或使用其他的代理方式,我们就只能从服务入手。 解决方案 这里可以用到的Tomcat中的RemoteIpValve,实现逻辑如下图 如上图逻辑可知只需改变internalProxies的默认即可通过request.getRemoteAddr()获取到客服真实IP 我这里使用的SpringBoot,在yml文件中配置...
WEB安全-伪造X-Forwarded-For绕过服务器IP地址过滤
06-01 2万+
转自:http://www.jianshu.com/p/98c08956183d 在正常的TCP/IP 通信中,是可以伪造数据包来源 IP 的,但这会让发送出去的数据包返回到伪造IP上,无法实现正常的通信。 实现TCP/IP层级别的伪造很难,因为很难实现正常的TCP连接;但是在应用层协议HTTP上的实现较容易,通过伪造IP,能欺骗多数服务器应用程序实现通信。对于绕过服务器的IP地址过
if ($http_x_forwarded_for) { set $tmp_http_x_forwarded_for $http_x_forwarded_for;
最新发布
06-03
比如,可以使用 $proxy_add_x_forwarded_for 变量来获取客户IP 地址,该变量会将客户 IP 地址添加到 $http_x_forwarded_for 请求头中。然后,可以使用 Nginx 的 ngx_http_realip_module 模块来解析该请求头,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值