记一次-X-Real-IP、X-Forwarded-For 防止伪造

最新推荐文章于 2023-09-06 17:24:05 发布
置顶 最新推荐文章于 2023-09-06 17:24:05 发布
阅读量1.7k 收藏 2
点赞数 1
分类专栏: linux实战
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/e_shi_yi_p/article/details/109677711
版权

背景:只有一层nginx,获取真实ip。防止伪造

在这里插入图片描述
nginx 配置

server {
   
        listen       443 ssl;
        server_name  localhost;

        ssl_certificate      server.crt;
        #ssl_certificate      cert.pem;
        ssl_certificate_key  server.key;
        #ssl_certificate_key  cert.key;

        ssl_session_cache    shared:SSL:1m;
        ssl_session_timeout  5m
最低0.47元/天 解锁文章
e_shi_yi_p_l
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
普通代理IP如何避免被X-Forward-For发现?
ffhh123321的博客
08-22 748
代理IP的一大优势是我们可以通过IP地址的切换,让我们的真实IP地址在上网的时候得到很好的隐藏,根据不同的隐匿效果,代理IP可以分为透明代理、普通代理、高匿代理这几种。 透明代理的隐私度较差,普通代理能够用一些技术手段被破除,那么,是不是用普通代理就一定会被 X-Forward-For 发现? 在解读 RFC7239 - Example Usage 时,我们了解到 X-Forward-For 会录原始 IP,在使用多层 IP 代理的情况下录的是上层 IP。利用这个特点,是不是可以伪造一下呢? 既然 X-
X-Forwarded-For和X-Real-IP区分
yuanfengfengyuan的博客
06-16 3047
前言 在做检测产品的时候,碰到了X-Forwarded-For和X-Real-IP这两个HTTP头部字段,这两个一直稀里糊涂的,专门针对两个字段进行了分析和理解。 代理的区分 反向代理和正向代理 企业服务器以集群方式进行部署,并通过负载均衡方式对外提供应用服务,一般负载均衡可以是软件(nginx),也可以是硬件设备,以B/S通信数据(浏览器)为例,我们通过GET方式访问企业域名服务器,负载均衡设备就会按照当前各个子服务器运行状况进行任务分发,分给空闲的服务器,从客户端来看,请求的目的地址就是服务器设备,其实
解决:伪造X-Forwarded-For
qq_28915045的博客
03-07 4270
目前很多Web 应用(例如获取用户所在地区,基于 IP 做访问频率控制,禁止某些IP访问等等),为了获取用户真正的 IP,从 HTTP 请求头中获取 IP地址。这些情况下,必须确保获取到的IP地址是真实可靠的。 经过前面的分析和测试,1.对于直接使用的 Web 应用,必须使用从TCP连接中得到的 Remote Address,才是用户真实的IP;2.对于使用 nginx 反向代理服务器的Web应用,nginx必须使用Remote Address正确配置set Headers,后端服务器则使用nginx传过来
如何正确获取用户 IP (避免透明代理,避免伪造 HTTP_X_FORWARDED_FOR)
weixin_33749131的博客
04-11 1051
2019独角兽企业重金招聘Python工程师标准>>> ...
java http获取真实ip 防止伪造ip
清凉zxcv的博客
07-11 4962
先说下各个常用请求头. X-Real-IP 是Nginx的反向代理标志(只包含真实ip) x-forwarded-for 是Nginx的反向代理标志(包含真实ip和反向代理服务器地址,以“,”隔开,第一个为用户真实ip,后面的是各个层代理服务器ip) Proxy-Client-IP 是Apache的反向代理标志 WL-Proxy-Client-IP 是WebLogic的反向代理标志 下...
python3-requests伪造x-forwarded-for以及解决
thewindkee的博客
01-11 7369
通常,我们的服务器会有一级或者多级的反向代理, 因此我们代码中拿remote_addr会取到最后一级反向代理的ip。为了拿到真实ip,常常会去x-Forward-For中拿用户最后一级代理Ip。但是由于该值是header中的, 直接去取可能取到用户伪造Ip。 x-forwarded-for资料 这一HTTP头一般格式如下: X-Forwarded-For: client1, proxy1...
60-【kubernetes】header(X-Forwarded-For 、remote_addr、X-Real-IP)是否可以篡改
qq_42303254的博客
12-31 1402
https://zhuanlan.zhihu.com/p/134618410
X-Forwarded-For火狐插件
01-10
X-Forwarded-For火狐插件
forwarded:解析HTTP X-Forwarded-For标头
05-11
从请求中解析X-Forwarded-For标头。 以相反的顺序返回地址数组,包括req的套接字地址(即索引0是套接字地址,最后一个索引是最远的地址,通常是最终用户)。 测验 $ npm test 执照 麻省理工学院
Chrome插件:X-Forwarded-For Header
12-15
通常情况下,当一个请求经过多个代理服务器时,`X-Forwarded-For`头会被逐次添加,列出请求所经过的所有IP地址。因此,该插件可以帮助用户确保在复杂的网络环境中正确地追踪客户端来源。 **Chrome扩展程序和Chrome...
x-forwarded-forheader1.0.1.1.1
05-01
x-forwarded-forheader1.0.1.1.1火狐老插件,可以直接本地安装在旧版火狐上面,可以用的。
X-Forwarded-For Header_0.6.2_0.zip
08-24
此扩展允许您快速更新各种 X-Forwarded-For、X-Originating-IP、X-Remote-IP 和 X-Remote-Addr HTTP 标头 打开Chrome浏览器的扩展程序: 地址栏直接输入:chrome://extensions/ 把下载到的文件解压后,点击加载已...
X-Forwarded-For绕过服务器IP地址过滤
热门推荐
公众号shadow sock7
06-03 1万+
参考: http://www.jianshu.com/p/98c08956183d https://github.com/bl4de/ctf/blob/master/2017/nullcon_HackIM_2017/Web1.md看到一个CTF题中有一个与X-Forwarded-For有关的。 通过在HTTP头中设置X-Forwarded-For: 127.0.0.1在正常的TCP 通信中,是
X-real-ip与X-Forwarded-For
weixin_30530523的博客
08-03 305
经过反向代理后,客户端与web服务器之间添加了中间层,因此: 1.代理服务器使用$remote_addr拿到的会是客户端的ip 2. web服务器使用$remote_addr拿到的会是代理服务器的ip 3.客户端使用getRemoteAddr()拿到的会是反向代理服务器的ip 为了让服务器能得到客户端的ip,可以在nginx中做些赋值操作: 1.proxy_set_header ...
X-Forwarded-For
yuange
04-25 6789
问题背景 在Web应用开发中,经常会需要获取客户端IP地址。一个典型的例子就是投票系统,为了防止刷票,需要限制每个IP地址只能投票一次。 如何获取客户端IP 在Java中,获取客户端IP最直接的方式就是使用request.getRemoteAddr()。这种方式能获取到连接服务器的客户端IP,在中间没有代理的情况下,的确是最简单有效的方式。但是目前互联网Web应用很少会将应用服务器直接对外提...
论X-Forwarded-For伪装代理请求与获取真实ip(springboot项目)
外柏叁布道者
03-26 5062
以下项目均是基于springboot2.x构建 1、使用X-Forwarded-For 伪装代理 之前做了一个项目,关于xxx抢购,当时是用spring boot做的,主要功能就是实现模拟真实用户登录、抢购等一整套自动化流程。 刚开始可以多任务执行,后面可能是被发现了,导致从服务器发出的抢购请求被限制(因为同一个出口ip),后来为了解决这个问题,找到了X-Forwarded-For 这个...
获取真实的Ip地址
最新发布
米诺有糖吃
09-06 1752
X-Forwarded-For、Proxy-Client-IP、WL-Proxy-Client-IP、HTTP_CLIENT_IP、HTTP_X_FORWARDED_FOR这几个参数获取到的IP地址都有可能是真实的IP地址,但是它们的可信度和准确性是不同的。如果要获取最接近真实的客户端IP地址,建议优先使用X-Forwarded-For、Proxy-Client-IP、HTTP_CLIENT_IP、HTTP_X_FORWARDED_FOR这几个参数。
抓包工具常见使用-ip伪造
weixin_44574152的博客
07-19 878
x-forwarded-for: 127.0.0.1 x-remote-IP: 127.0.0.1 x-remote-ip: 127.0.0.1 x-client-ip: 127.0.0.1 x-client-IP: 127.0.0.1 X-Real-IP: 127.0.0.1 在数据包中加入这个就可以了,任选一种方式
一次 500并发,平均响应时间慢-调优过程~~
e_shi_yi_p的博客
12-26 1857
1、背景:LR压测,并发 500、持续压测10 分钟~ 压测结果,平均响应时间长 从报告可知,主要瓶颈在js、css、img上 2、解决 启用nginx 缓存、集群部署、tomcat线程调优 linux内核调优 tomcat7 启用nio、调大最大线程。等待队列 <Connector port="6002" enableLookups="false" maxKeepAliveRequests="1" acceptCount="550" minSpareThreads="300" maxThr
如何避免利用x-forwarded-for伪造ip
05-20
为了避免利用 X-Forwarded-For 伪造 IP,可以采取以下措施: 1. 使用反向代理服务器:反向代理服务器可以拦截 HTTP 请求,并且可以从 TCP 连接中获取客户端真实 IP 地址。使用反向代理服务器可以防止攻击者通过直接...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值