使用HTTP_X_FORWARDED_FOR获取客户端IP的严重后果

最新推荐文章于 2024-07-01 21:43:04 发布
最新推荐文章于 2024-07-01 21:43:04 发布
阅读量1.7k 收藏
点赞数
分类专栏: asp.net文章 文章标签: string 投票系统 web开发 服务器 null 测试
在WEB开发中.我们可能都习惯使用下面的代码来获取客户端的IP地址: 
C#代码 
复制  保存 // 优先取得代理IP 
string  IP  =  Request.ServerVariables[ " HTTP_X_FORWARDED_FOR " ];
 if  ( string .IsNullOrEmpty(IP))
 {
    //没有代理IP则直接取连接客户端IP 
    IP = Request.ServerVariables["REMOTE_ADDR"];
}
上面代码看来起是正常的.可惜这里却隐藏了一个隐患 !! 因为 " HTTP_X_FORWARDED_FOR " 这个值是通过获取HTTP头的 " X_FORWARDED_FOR " 属性取得.所以这里就提供给恶意破坏者一个办法:可以伪造IP地址 !!   

下面是测试代码: 
复制  保存HttpWebRequest request  =  (HttpWebRequest) HttpWebRequest.Create( " http://localhost/ip.aspx " );
request.Headers.Add( " X_FORWARDED_FOR " " 0.0.0.0 " );
HttpWebResponse response  =  (HttpWebResponse) request.GetResponse();
StreamReader stream  =   new  StreamReader(response.GetResponseStream());
 string  IP  =  stream.ReadToEnd();
stream.Close();
response.Close();
request  =   null ;
 " ip.aspx " 文件代码: 
复制  保存Response.Clear();
 // 优先取得代理IP 
string  IP  =  Request.ServerVariables[ " HTTP_X_FORWARDED_FOR " ];
 if  ( string .IsNullOrEmpty(IP))
 {
    //没有代理IP则直接取客户端IP 
    IP = Request.ServerVariables["REMOTE_ADDR"];
}
Response.Write(IP);
Response.End();
这样.当测试代码中去访问ip.aspx文件时. 
复制  保存string IP  =  stream.ReadToEnd();
这段代码取到的IP数据就是 " 0.0.0.0 " !!!! (呵.在真实情况下.这样的IP地址肯定不是我们想要的结果.而在有些投票系统中限制一个IP只能投1次票时,如果也是用类似的代码取得对方IP然后再判断的话.呵呵.限制就失效咯)...  

或者如果你用上面代码获取IP地址后后面又不再进行数据判断的话也许还能更进一步进行数据破坏 !!  
比如你用类似上面的代码中获取IP地址就直接有这样的SQL语句: 
复制  保存string sql  =   " INSERT INTO (IP) VALUE (' "   +  IP  +   " ') " ;
那么也许破坏者还可以进行SQL注入进行数据破坏 !!   

这样看来利用 " HTTP_X_FORWARDED_FOR " 这个属性获取客户端IP的方法就不再可取了. - _ - # 但如果不用这种方法.那么那些真正使用了代理服务器的人.我们又不能再获取到他们的真实IP地址(因为某些代理服务器会在 " X_FORWARDED_FOR " 这个HTTP头里加上访问用户真正的IP地址).呵.现实就是这样,某种东西都有有得必有失...  

最后,我的建议是不要再使用上面的方法去获取客户端IP.即是不要再理会代理情况.你的建议又是怎样呢 ???  

试试 
复制  保存public  static   string  GetRealIP()
 {
    string ip;
    try
    {
        if (HttpContext.Current.Request.ServerVariables["HTTP_VIA"!= null)
        {
            ip = HttpContext.Current.Request.ServerVariables["HTTP_X_FORWARDED_FOR"].ToString().Split(',')[0].Trim();
        }
        else
        {
            ip = HttpContext.Current.Request.UserHostAddress;
        }
    }
    catch (Exception e)
    {
        throw e;
    }
    return ip;
}
 
田猿笔记
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
HTTP协议系列4】服务器日志之X_Forwarded_For
安全曼巴2020
11-14 2501
X_Forwarded_For X-Forwarded-For:简称XFF头,它代表客户端,也就是HTTP的请求端真实的IP,只有在通过了HTTP代理或者负载均衡服务器时才会添加该项。它不是RFC中定义的标准请求头信息,在squid缓存代理服务器开发文档中可以找到该项的详细介绍。Squid缓存代理服务器开发人员最早引入了这一HTTP头字段,并由IETF在Forwarded-For HTTP
[NGINX] - 配置文件优化 - NGINX.CONF
i4t abcdocker的博客
02-23 1352
[NGINX] - 配置文件优化 - NGINX.CONF标签(空格分隔): Nginx本文主要针对公司的Nginx负载均衡配置进行解释,配置文件在最下方。因为公司没有使用PHP,所以NGINX里面并没有太多facgi模块相关优化 NGINX.CONFuser语法: user user[group]; 标签: main定义user和工作group 进程使用的凭证。如果group省略,user则使用
web站点获取用户IP的安全方法 HTTP_X_FORWARDED_FOR检验
weixin_30686845的博客
05-31 102
通过上一篇,获取用户Ip地址通用方法常见安全隐患(HTTP_X_FORWARDED_FOR),我们已经意 识到直接从http_x_forwarded_for中读取用户IP,跟我们直接从一个get,post值中读取其实没有两样。web参数检测里面一个基本原则:“一切输入都是有害的”,因此,只要是输入我们就需要进行过滤。 安全过滤后的getIP函数 func...
HTTP协议头中X-Forwarded-For是能做什么?
最新发布
xianweijian的博客
07-01 813
只要nginx前端(例如lvs, varnish)转发请求给nginx的时候,带了x-forwarded-for ,那么程序就一定能读到这个字段,如果nginx还设置了proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for, 那么程序能读到XFF是:ip0, ip1 (客户端Ip,lvs或者varnishIP)。如果nginx没有设置,那么nginx还是会原样把http头传给程序,也就是说程序也能读到XFF,而且XFF就是ip0 客户端IP
利用HTTP_X_FORWARDED_FOR获取客户端IP(http代理的相关知识)
曾几何时
02-28 3174
Request.ServerVariables变量意义. http代理相关知识Request.ServerVariables["HTTP_VIA"]---------可以获得用户内部的ipRequest.ServerVariables["HTTP_X_FORWARDED_FOR"]---------可以知道代理服务器服务器名以及端口Request.ServerVariables["REMOTE_
HTTP_X_FORWARDED_FOR & REMOTE_ADDR
ustbsmartcar的专栏
12-14 151
在Request.ServerVariables中并没有HTTP_X_FORWARDED_FOR这个变量,只有REMOTE_ADDR这个变量,但是这两个变量都能够取得客户端IP地址。那么他们之间的区别是什么呢?   在ASP中使用 Request.ServerVariables("REMOTE_ADDR") 来取得客户端IP 地址,但如果客户端使用代理服务器来访问,那取到的就是代理服...
HTTP 请求头中的 X-Forwarded-For
thinker
03-24 879
我一直认为,对于从事 Web 前端开发的同学来说,HTTP 协议以及其他常见的网络知识属于必备项。一方面,前端很多工作如 Web 性能优化,大部分规则都跟 HTTPHTTPS、SPDY 和 TCP 等协议的特点直接对应,如果不从协议本身出发而是一味地照办教条,很可能适得其反。另一方面,随着 Node.js 的发展壮大,越来越多的前端同学开始写服务端程序,甚至是服务端框架(ThinkJS就是这样...
js 客户端 mac ip 地址
02-09
Web开发中,获取客户端IP地址相对简单,可以通过多种方式实现,例如利用HTTP请求头中的`X-Forwarded-For`或`REMOTE_ADDR`字段,或者通过第三方库和API来获取。然而,由于隐私和安全原因,现代浏览器并不直接支持在...
6.主要协议(UDP、TCP、IPHTTP
weixin_44116098的博客
06-13 1456
一、IP地址 1.1 概念  互联网上的每一个主机都有一个IP地址 IPv4版本:32bit(4字节) IPv5版本:128bit(16字节) 默认版本是IPv4版本 按字节分,每一字节换算成十进制 1.2 IP地址的组成(按功能分) IP地址由2部分组成:网络标识(网络ID)、主机标识(主机ID)  同一网段的计算机,网络ID相同  通过子网掩码(subnet mask)可以计算出网络ID:子网掩码 &(按位与) IP地址  子网掩码的作用一般用来计算网段  按位与:和1按位与,结果是原来值;和
nlog官方帮助_Nlog日志组件简介
weixin_39587113的博客
12-21 178
NLog简介NLog是一个简单灵活的.NET日志记录类库,NLog的API非常类似于log4net,配置方式非常简单。支持多种形式输出日志:文本文件、系统日志、数据库、控制台、邮箱等1.NLog简介在nuget控制台输入安装nlog命令: Install-Package NLog.ConfigNlog配置的方式常用的有两种1.直接在使用应用程序配置文件或者web的配置文件(app.config /...
获取用户Ip地址通用方法与常见安全隐患(HTTP_X_FORWARDED_FOR)
12-19
分析过程 这个来自一些项目中,获取用户Ip,进行用户操作行为的记录,是常见并且经常使用的。 一般朋友,都会看到如下通用获取IP地址方法。 复制代码 代码如下: function getIP() { if (isset($_SERVER[‘HTTP_X_FORWARDED_FOR’])) { $realip = $_SERVER[‘HTTP_X_FORWARDED_FOR’]; } elseif (isset($_SERVER[‘HTTP_CLIENT_IP’])) { $realip = $_SERVER[‘HTTP_CLIENT_IP’]; } else { $realip = $_SERV
HTTP 请求头中的 X-Forwarded-For(XFF)
热门推荐
义臻的博客
03-12 3万+
在Java代码实践中,有两种方式可以从HTTP请求中获得请求者的IP地址。一个是从Remote Address中获得,另一个是从X-Forward-For中获得,但他们的安全性和使用场景各有不同。一旦用错,就可能为系统造成漏洞。因此,需要开发者对这两个参数深入的理解。 Remote Address代表的是当前HTTP请求的远程地址,即HTTP请求的源地址。HTTP协议在三次握手时使用的就是这个R...
获得用户的真实ip HTTP_X_FORWARDED_FOR
天宝的博客
03-26 2万+
工作中经常会有有获得用户真实ip的情况,HTTP_X_FORWARDED_FOR这个函数总是忘记,所以我这里记录下来吧. 在PHP 中使用 [“REMOTE_ADDR”] 来取得客户端IP 地址,但如果客户端使用代理服务器来访问,如果要获取真正的ip就需要使用[‘HTTP_X_FORWARDED_FOR’]. if(isset($_SERVER['HTTP_X_FORWARDED_FOR']...
HTTP请求头X-Forwarded-For,Remote_Addr
诗人不写诗
05-31 2740
HTTP协议定义了很多头部参数,这些参数由请求的发起方和响应方设置,所以头部参数可以分为请求头和响应头,通信双方(浏览器和服务器)会去读取这些头部参数并做出对应的的动作。如果有人不按协议设置这些参数,就可以达到一些非法的目的。 X-Forwarded-For起源 xxf这个请求头,很多应用层在使用,所以这里必须要了解他的意义。X代表这是一个扩展的头参数。事实也正是如此,最开始xxf是Squid cache这个缓存代理服务软件自定义的一个头部参数,用来标识请求的源IP。后来,xxf的使用范围越来越广泛,被
HTTP 请求头中的 X-Forwarded-For,X-Real-IP
Erica_1230的专栏
03-02 1492
使用nginx做反向代理时,我们为了记录整个的代理过程,我们往往会在配置文件中做如下配置: location / { 省略... proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_pass http://1xx.xxx.xxx.xxx; }...
HTTP协议—x-forwarded-for&x-real-ip
weixin_44431280的博客
01-16 4402
HTTP协议—x-forwarded-for&x-real-ip字段 提要:Web安全中,通常会需要查看HTTP数据包判断客户端攻击IP,如果客户端进行了代理设置,HTTP协议中查看到的源IP地址将会是代理的地址,不是真实的客户端地址,此时便可以通过HTTP协议中的x-forwarded-for字段和x-real-ip来进行判断。 x-forwarded-for:主要用于记录代理IP,记录从客户端地址到最后一个代理服务器的所有地址 x-real-ip:仅记录真实客户端IP地址 举例:客户端0.0.0
转:利用HTTP_X_FORWARDED_FOR获取客户端IP(http代理的相关知识)
zhangmiaoping23的专栏
06-08 5021
REMOTE_ADDR 是你的客户端跟你的服务器“握手”时候的IP。如果使用了“匿名代理”,REMOTE_ADDR将显示代理服务器IPHTTP_CLIENT_IP 是代理服务器发送的HTTP头。如果是“超级匿名代理”,则返回none值。同样,REMOTE_ADDR也会被替换为这个代理服务器IP。 $_SERVER['REMOTE_ADDR']; //访问端(有可能是用户,有可能是代理的)I
nginx中的$http_x_forwarded_for是否总是能获取到真实的客户端ip
06-10
不是所有情况下都能通过 `$http_x_forwarded_for` 获取到真实的客户端 IP 地址。这取决于反向代理服务器是否将客户端的真实 IP 地址添加到 HTTP 请求头中的 X-Forwarded-For 头部信息中。 如果反向代理服务器已经...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值