使用反向代理规避备案风险

最新推荐文章于 2024-05-13 21:09:02 发布
最新推荐文章于 2024-05-13 21:09:02 发布
阅读量953 收藏 1
点赞数
文章标签: php
原文链接:https://my.oschina.net/moxie/blog/64153
版权

这种小概率技术问题某种意义上也算是天·朝专利了:)
本文集中介绍阿里云(aliyun.com)中,使用反向代理规避备案风险。
还有如何在 SAE(Sina App Engine http://sae.sina.com.cn/ )中使用自有反向代理。
您需要一个境外服务器(不需要备案的服务器),作为代理服务器:)

访问流程

本文使用apache http作为http和proxy服务器。
client-proxy-httpd.png

  1. 客户端向代理服务器请求的 Host 为: test.com
  2. 代理服务器向http服务器请求含有 X-Forwarded-Host: test.com 。
    1. 当 ProxyPreserveHost On 时,客户端提供的 Host 会被传递到http服务器:test.com
    2. 当 ProxyPreserveHost Off 时,ProxyPass 指定的 Host 会被传递到http服务器:192.168.1.333(SAE:xxx.sinaapp.com)
  3. http服务器根据代理服务器指定的 Host 来判定应该使用哪个虚拟主机。

基本配置

httpd:

<VirtualHost *:80>
    ServerName   zoeey.org
    ServerAlias  *.zoeey.org
    DocumentRoot /sites/zoeey

    <Directory "/sites/zoeey">
        FileETag MTime Size
        Options  FollowSymLinks
        AllowOverride all

        SetEnvIf X-Forwarded-For "^[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}" is_pass
        SetEnvIfNoCase Host "\.zoeey\.org$" is_pass
        Order Deny,Allow
        Deny from all
        Allow from env=is_pass
    </Directory>
</VirtualHost>

阿里云(aliyun)用户注意这里的allow设置。允许主域名和反向代理访问。
阿里云不允许空主机头,也就是需要将第一个vhost设置为deny。
上述的设置方式是允许以代理的方式访问空主机头,可用于用户自定义域名绑定。

PHP中获取用户访问时请求的Host:

if (isset($_SERVER['HTTP_X_FORWARDED_HOST'])) {
    $domain = $_SERVER['HTTP_X_FORWARDED_HOST'];
} else {
    $domain = getenv('HTTP_HOST');
}

proxy:

<VirtualHost *:80>
    ProxyPass /   http://192.168.1.333/
    # SAE # ProxyPass /   http://xxx.sinaapp.com/
    # ProxyPreserveHost On
</VirtualHost>

无论是SAE还是阿里云现在均不能直接绑定未备案域名,且不可以代理形式传递 Host 。
所以proxy配置中 ProxyPreserveHost 应为 Off ,或删除掉该行。

上述配置可以实现:
1、用户免备案绑定独立域名,并绑定在httpd首个vhost指定的目录上。
2、使用自己的反向代理服务器为尚未备案的SAE应用绑定自己的域名。

使用 X-Forwarded-Host 的 VirtualHost 绑定

当代理服务器的ProxyPreserveHost关闭时,Host 的传递被切换。
客户端提供的 Host 名称仅由 X-Forwarded-Host 持有。
此时我们不能使用传统的根据 Host 配置 VirtualHost 目录绑定。
下面介绍 httpd 如何使用 X-Forwarded-Host 绑定。

找到获取绑定所需 Host 名称的方法: ap_update_vhost_from_headers。
并先行判定 X-Forwarded-Host。
具体修改位置与方法如下。

httpd-2.2.17/server/vhost.c

AP_DECLARE(void) ap_update_vhost_from_headers(request_rec *r)
{
    r->hostname = apr_table_get(r->headers_in, "X-Forwarded-Host");
    /* must set this for HTTP/1.1 support */
    if (r->hostname || (r->hostname = apr_table_get(r->headers_in, "Host"))) {
        fix_hostname(r);
        if (r->status != HTTP_OK)
            return;
    }
    /* check if we tucked away a name_chain */
    if (r->connection->vhost_lookup_data) {
        if (r->hostname)
            check_hostalias(r);
        else
            check_serverpath(r);
    }
}

我们增加了 X-Forwarded-Host 获取,其优先于 Host 。
实际使用可参考 use_canonical_name_xhost-trunk.patch 中的 ap_get_xhost_from_headers 函数。

重新编译安装httpd即可。

参考资料

mod_proxy
ProxyPreserveHost
SetEnvIfNoCase
mod_mbox/httpd-dev/201205.mbox/%3C4FA30D5A.3040406@pearsoncmg.com%3E
use_canonical_name_xhost-trunk.patch

SEO

sae免备案
aliyun免备案
代理无法绑定域名
反向代理无法绑定域名
不传递 Host 的 vhost 绑定
不传递 Host 的 VirtualHost 绑定
ProxyPreserveHost Off,VirtualHost 绑定

X-Forwarded-Host VirtualHost 绑定

 

moxie 撰写  http://blog.zoeey.org/2012/06/15/client-proxy-httpd/

转载于:https://my.oschina.net/moxie/blog/64153

chewopu3215
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP使用Nginx实现反向代理
12-20
一、代理服务器 1、什么是代理服务器 代理服务器,客户机在发送请求时,不会直接发送给目的主机,而是先发送给代理服务器,代理服务接受客户机请求之后,再向主机发出,并接收目的主机返回的数据,存放在代理服务器的硬盘中,再发送给客户机。 2、为什么要使用代理服务器 1)提高访问速度     由于目标主机返回的数据会存放在代理服务器的硬盘中,因此下一次客户再访问相同的站点数据时,会直接从代理服务器的硬盘中读取,起到了缓存的作用,尤其对于热门站点能明显提高请求速度。 2)防火墙作用     由于所有的客户机请求都必须通过代理服务器访问远程站点,因此可在代理服务器上设限,过滤某些不安全信息。 3)通过代
正向代理、反向代理以及透明代理与隐私保护
个人笔记
04-04 2352
总体而言,万物互联的时代,企业有能力监控员工访问互联网留下的每一处痕迹,但是在比以往任何时候都注重个人隐私的今天,再加上代理解密 SSL 会消耗巨大资源,实际很多公司只会根据风控策略选择解密部分敏感数据。除了加强内部合规风险审查之外,另一方面,政府、企业更多的是需要考虑如何保护个人数据不被滥用,不被泄露,增强他们在民众间的公信力。
NGINX常见的安全风险有哪些?底层原理是什么?
长风破浪会有时的博客
05-06 564
NGINX 是一种高性能、可靠的 Web 服务器和反向代理服务器,由于其广泛应用和高性能特性,也成为攻击者攻击的目标之一。缓冲区溢出攻击:缓冲区溢出是指攻击者向服务器发送超过服务器处理能力的数据,从而导致缓冲区溢出,攻击者可以通过缓冲区溢出攻击来执行任意代码或者控制服务器。未授权访问:未授权访问是指攻击者利用应用程序中的漏洞或者直接访问 NGINX 服务器,获取服务器的敏感信息或者执行非法操作。HTTP 劫持:HTTP 劫持是指攻击者窃取用户的 HTTP 请求或者响应,从而获取用户的敏感信息。
宝塔反向代理设置方法-可实现伪免备案
依彤学习博客
03-18 9830
用宝塔实现伪免备案 大家在听到“伪免备案”的时候一定很纳闷这是什么呢?呵呵!这个是海豚造的一个新词语,现在国内的网络监管越来越严格,这是一件好事,但在一定程度上也给大家带来了些麻烦,例如某某在阿里VPS备了案,但在腾讯参加了VPS活动,如果想用腾讯的机器的话,就需要重新接入备案到腾讯,等同于重新备案了,相当的麻烦和消耗时间,所以在这里海豚给大家一个新的方法,伪备案! 伪备案原理 腾讯(未接入...
【黑科技】巧用CDN绕过备案,最新伪备案技术-回源Host新利用
依彤学习博客
06-01 8198
关于备案,海豚以前是提不少了,本次教程其目的不是让大家一定都不备案,而是从一定程度上避免备案的繁琐,说到底,你需要有一个已经备案的域名,既然这样,海豚为什么要说绕过备案呢?本次的教程主要适用于以下场景 适用场景 例如域名已在阿里备案 购买了腾讯的VPS 按照现在的规则,大家需要再次在腾讯接入备案,各种程序相当的繁琐。 所以海豚现在给大家介绍的方法就是利用一个已经备案的域名,通过回源host绕...
Nginx反向代理跳过国内备案(以宝塔面板为例)
0x3F3F3F3F
12-10 1284
Nginx代理跳过大陆备案验证,需要两台服务器,一台已备案或者免备案,一台国内主力服务器放你的项目。B服务器在配置文件里设置listen监听端口号。先把域名解析到A服务器。然后在A服务器里配置。
Nginx反向代理
qq_40725327的博客
03-28 198
终于配置好了反向代理,简单记录一下。 一、 概述 什么是反向代理 反向代理(Reverse Proxy)方式是指以代理服务器来接受internet上的连接请求,然后将请求转发给内部网络上的服务器,并将从服务器上得到的结果返回给internet上请求连接的客户端,此时代理服务器对外就表现为一个反向代理服务器。 通常的代理服务器,只用于代理内部网络对Internet的连接请求,客户机必须指定代理服...
使用阿里云服务器上的docker反向代理docker上的tomcat不成功提示备案
GJX00的博客
03-06 2774
云服务器不能直接用域名 !!!!!!!! 比如你云服务docker上有一个nginx容器 云服务ip为192.168.1.1,也有一个tomcat的容器,想反向代理就不能使用域名了 我们可以使用ip来代替 比如 你nginx端口映射为 66:80 tomcat端口映射为 8088:8080 那么我们可以用192.168.1.1:66访问nginx的首页,我们使用方向代理将必须使用192.168.1.1:8088访问的tomcat首页可以直接用192.168.1.1:66来直接访问tomc
JAVA HTTP反向代理实现过程详解
08-18
主要介绍了JAVA HTTP反向代理实现过程详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
nginx反向代理
02-24
这里主要通过三个方面简单介绍nginx反向代理负载均衡nginx特点关于代理说到代理,首先我们要明确一个概念,所谓代理就是一个代表、一个渠道;此时就设计到两个角色,一个是被代理角色,一个是目标角色,被代理角色...
apachec反向代理使用的问题
03-22
反向代理反向代理反向代理反向代理反向代理反向代理反向代理反向代理反向代理
freeswitch ngnix wss反向代理,jssip配置
07-02
freeswitch支持UDP、TCP、WS(websocket)、WSS方式进行注册,而反向代理是指通过nginx配置,通过WSS的方式连接WS,这样使得freeswitch连接对外是加密的;当然freeswitch本身是支持WSS的, 用ngnix一般除了反向代理,...
阿里云备案好之后我们应该做什么?nginx的正向、反向代理设置
胃病的不良少彦
11-09 421
阿里云备案好之后我们应该做什么 1. 开放服务器的80端口 添加阿里云的安全组规则,不懂得可以百度一下 2. 添加域名解析 3. 把nginx配置改一下 原来tomcat得端口不用改 server { listen 8091; server_name hiiumaa.xiyou.club; location / { proxy_pass http:/...
nginx通过反向代理实现未备案域名访问详解
weixin_30788731的博客
03-14 5328
本方法实现前提是8123端口(也可以是其他端口)面对互联网打开。server里面监听80端口,然后反向代理8123端口。1.其中server_name部分是我的域名可以替换成其他想要的域名2.8123是我指定的端口可以改成其他端口,最后访问http://www.itxm.cn浏览器直接跳转成http://www.itxm.cn:81233.本机8123端口业务一定要先配置通。下面给出server部...
国内服务器绕过备案详细教程
a'ゞ 梦里的博客
03-30 6984
国内服务器绕过备案
浅谈反向代理
情深深几许
02-16 744
什么是反向代理? 我们来看一下Wiki百科中给出的解释为:         在计算机网络中,反向代理是代理服务器的一种。服务器根据客户端的请求,从其关系的一组或多组后端服务器(如Web服务器)上获取资源,然后再将这些资源返回给客户端,客户端只会得知反向代理的IP地址,而不知道在代理服务器后面的服务器簇的存在。 这个定义可能有难懂,我们可以用图的方式表现出来: 需要注意的是,代理服务器与...
php获取用户中文ip,php获取用户ip
weixin_32161697的博客
03-24 56
function getIp() {if( isset($_SERVER['HTTP_X_FORWARDED_FOR']) ) {$ip = $_SERVER['HTTP_X_FORWARDED_FOR'];}elseif( isset($_SERVER['HTTP_CLIENTIP']) ) {$ip = $_SERVER['HTTP_CLIENTIP'];}elseif( isset($_SE...
使用Nginx反向代理绕过域名备案详解
weixin_30707875的博客
03-14 5188
之前笔者在景安云搞过一个Wordpress博客,然后域名备案也是在景安云上面搞的,后来又搞了一个阿里云的服务器,想把博客迁移到阿里云并且使用Ghost博客,然后使用二级域名链接到阿里云,结果出事了。景安备案的域名不能在阿里云上使用,必须从景安注销然后从阿里云重新备案,是不是有点太那个恶心了,太垄断了。对于重新备案的速度,大家应该都知道,从注销到重新备案少则20天,多则一个半月,哎,...
NSSCTF | [第五空间 2021]WebFTP
最新发布
2302_80946742的博客
05-13 204
注意看这里的题目标签,目录扫描,.git泄露。那么这道题虽然打开是一个登录的界面,但是并不是我们熟悉的爆破和SQL注入。扫描的最后也给了几个文件,最后是在phpinfo.php文件里找到了flag。但是可以在题目标签上看到目录扫描,我们就用dirsearch扫一扫看看。虽然这里扫出来了git文件,但我试了试,没能成功下载。
jumpserver使用nginx 反向代理
02-20
Jumpserver 是一款基于 SSH 的远程管理工具,它提供了一个安全、易用的远程访问方式,可以用于远程管理服务器。在使用 Jumpserver 的过程中,可以通过 Nginx 实现反向代理,提高访问的安全性和性能。 使用 Nginx 作为 Jumpserver 的反向代理,可以带来以下好处: 1. 安全性增强:Nginx 是一款非常安全的 Web 服务器,它具有一些内置的安全特性,如内容缓存、攻击拦截等,可以有效地防止攻击者通过恶意攻击进入 Jumpserver。 2. 性能提升:Nginx 是一款高性能的 Web 服务器,具有快速的处理能力和优化的并发性能,可以提高 Jumpserver 的访问速度和稳定性。 3. 灵活的负载均衡:通过 Nginx 的负载均衡功能,可以配置多个 Jumpserver 实例,实现负载均衡和故障转移,提高系统的可用性和可靠性。 具体来说,使用 Nginx 作为 Jumpserver 的反向代理,可以按照以下步骤进行配置: 1. 安装 Nginx:在服务器上安装 Nginx,并确保其正常运行。 2. 配置 Jumpserver 反向代理:在 Nginx 配置文件中,添加 Jumpserver 的反向代理配置。需要指定 Jumpserver 的地址、端口号等信息,以及代理请求的规则。 3. 启动 Nginx:启动 Nginx 服务,使其开始代理 Jumpserver 的请求。 4. 测试访问:通过浏览器或其他访问方式,测试通过 Nginx 代理访问 Jumpserver 是否正常。 需要注意的是,在使用 Nginx 作为 Jumpserver 的反向代理时,需要确保 Nginx 的配置文件正确,并且与 Jumpserver 的配置文件兼容。同时,还需要对 Jumpserver 进行定期的备份和更新,以防止数据丢失或安全漏洞。 总之,使用 Nginx 作为 Jumpserver 的反向代理可以提高访问的安全性和性能,并带来其他好处。通过正确配置和定期维护,可以确保系统的稳定性和安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值