X-Forwarded-For等http头字段与Tomcat的 Remote IP Valve(Valve源码分析之六)

于 2023-05-19 11:46:26 发布
阅读量1k 收藏 2
点赞数
文章标签: tomcat
原文链接:https://www.cnblogs.com/zhongchang/articles/10345333.html
版权

Proxies Valve是代理Valve,其作用是可以对负载均衡代理服务器的IP地址与原request的IP地址做请求转换,让服务器端真正识别原IP地址(如果服务器端有需要的话);

本文主要讨论这种地址转换是如何做的;

1.X-Forwarded-For等http头字段

在我们现实的真正的场景中,通常Tomcat直接和用户接触的场景不多,主要是通过代理转发机制进行,如下:

真正的用户客户端是Client1,代理转发服务器采用的是Nginx,Proxy1,那么在此场景下,如果在Tomcat中进行获取客户端的地址:

request.getRemoteAddr,获得的IP地址绝对是Proxy1的,也就是负载均衡的地址;

而如果你想要获取Client1的地址,也是可以获取到的,就是通过X-Forwarded-For字段;

X-Forwarded-For:简称XFF头,它代表客户端,也就是HTTP的请求端真实的IP,只有在通过了HTTP 代理或者负载均衡服务器时才会添加该项。

X-Forwarded-For内置在Http协议头中,一般格式如下:

X-Forwarded-For: client1, proxy1, proxy2, proxy3

其中的值通过一个 逗号+空格 把多个IP地址区分开,;

最左边(client1)是最原始客户端的IP地址, 代理服务器每成功收到一个请求,就把请求来源IP地址添加到右边。

 在上面这个例子中,这个请求成功通过了三台代理服务器:proxy1, proxy2 及 proxy3。请求由client1发出,到达了proxy3(proxy3可能是请求的终点)。请求刚从client1中发出时,XFF是空的,请求被发往proxy1;通过proxy1的时候,client1被添加到XFF中,之后请求被发往proxy2;通过proxy2的时候,proxy1被添加到XFF中,之后请求被发往proxy3;通过proxy3时,proxy2被添加到XFF中,之后请求的的去向不明,如果proxy3不是请求终点,请求会被继续转发。

鉴于伪造这一字段非常容易,应该谨慎使用X-Forwarded-For字段。正常情况下XFF中最后一个IP地址是最后一个代理服务器的IP地址, 这通常是一个比较可靠的信息来源。[1] 

其次,还有一个是X-Forwarded-by字段,该字段是标识为负载均衡proxy的可信代理的IP地址;

例如上面的这个例子,X-Forwarded-For: client1, proxy1, proxy2, proxy3,可以配置当前的应用服务器的X-Forwarded-by字段可信IP为 proxy1, proxy2, proxy3;

这样通过X-Forwarded-For,X-Forwarded-by两个字段进行减法,直接就得到client1了;

还有一个是X-Forwarded-Proto,该字段记录最初从浏览器发出时候,是使用什么协议。因为有可能当一个请求最初和反向代理通信时,是使用https,但反向代理和服务器通信时改变成http协议,这个时候,X-Forwarded-Proto的值应该是https;

X-Forwarded-For和X-Forwarded-Proto的信息是很有价值的,在Tomcat中可以通过获取这两个字段的信息,拿到真实的客户端的请求IP和协议;

2.Remote IP Valve

Remote IP Valve就是利用X-Forwarded-For和X-Forwarded-Proto等字段,反转得到最原始的客户端的IP和请求信息的;

Attributes

The Remote IP Valve supports the following configuration attributes:

AttributeDescription
className

Java class name of the implementation to use. This MUST be set to org.apache.catalina.valves.RemoteIpValve.

可以自定义RemoteIPValve;

remoteIpHeader

Name of the HTTP Header read by this valve that holds the list of traversed IP addresses starting from the requesting client. If not specified, the default of x-forwarded-for is used.

X-Forwarded-For属性(可以更改为其它的属性)

internalProxies

Regular expression (using java.util.regex) that a proxy's IP address must match to be considered an internal proxy. Internal proxies that appear in the remoteIpHeader will be trusted and will not appear in the proxiesHeader value. If not specified the default value of 10\.\d{1,3}\.\d{1,3}\.\d{1,3}|192\.168\.\d{1,3}\.\d{1,3}|169\.254\.\d{1,3}\.\d{1,3}|127\.\d{1,3}\.\d{1,3}\.\d{1,3}|172\.1[6-9]{1}\.\d{1,3}\.\d{1,3}|172\.2[0-9]{1}\.\d{1,3}\.\d{1,3}|172\.3[0-1]{1}\.\d{1,3}\.\d{1,3} will be used.

对x-forwarded-for 中出现的IP进行过滤,过滤的方式采用的是正则表达式;

proxiesHeader

Name of the HTTP header created by this valve to hold the list of proxies that have been processed in the incoming remoteIpHeader. If not specified, the default of x-forwarded-by is used.

x-forwarded-by 属性(可以更改为其它的属性)

requestAttributesEnabled

Set to true to set the request attributes used by AccessLog implementations to override the values returned by the request for remote address, remote host, server port and protocol. Request attributes are also used to enable the forwarded remote address to be displayed on the status page of the Manager web application. If not set, the default value of true will be used.

当上述的几个属性开启后,通过request.getAttribute(xxx)就可以拿到原始客户端的一些信息,而不是代理服务器的;

而AccessLog和Manager应用的状态监控页面中,就是通过request.getAttribute(xxx) 拿信息的,这个设置也就是可以影响这两个功能;

trustedProxies

Regular expression (using java.util.regex) that a proxy's IP address must match to be considered an trusted proxy. Trusted proxies that appear in the remoteIpHeader will be trusted and will appear in the proxiesHeader value. If not specified, no proxies will be trusted.

与internalProxies 需要区分开来;

internalProxies 是对x-forwarded-for 中出现的IP进行过滤,并不会加入到http头的x-forwarded-by 中;

而这个trustedProxies 也是对x-forwarded-for 中出现的IP进行过滤,但会加入httphttp头的x-forwarded-by 中;

从字面意思理解,internalProxies 可以理解为内部的代理地址(貌似是一个内部的过滤匹配或者是内部的proxy协议转换,没什么价值),

而trustedProxies是可信的代理服务器的IP地址,是需要进行记录的

protocolHeader

Name of the HTTP Header read by this valve that holds the protocol used by the client to connect to the proxy. If not specified, the default of null is used.

http头的协议设置,如果你要检测代理是否把协议给转换了,可以设置前面讲过的X-Forwarded-Proto

portHeader

Name of the HTTP Header read by this valve that holds the port used by the client to connect to the proxy. If not specified, the default of null is used.

http的端口转换设置,能从http的header中拿到客户端的最原始端口

protocolHeaderHttpsValue

Value of the protocolHeader to indicate that it is an HTTPS request. If not specified, the default of https is used.

指示最原始的客户端的传递的协议是否是https协议
httpServerPort

Value returned by ServletRequest.getServerPort() when the protocolHeader indicates http protocol and no portHeader is present. If not specified, the default of 80 is used.

如果设置了protocolHeader ,但没设置portHeader属性,并且是http协议的;

该属性就是设置 ServletRequest.getServerPort() 的,默认如果不设置是80端口;

httpsServerPort

Value returned by ServletRequest.getServerPort() when the protocolHeader indicates https protocol and no portHeader is present. If not specified, the default of 443 is used.

如果设置了protocolHeader ,但没设置portHeader属性,并且是https协议的;
该属性就是设置 ServletRequest.getServerPort() 的,默认如果不设置是443端口;
changeLocalPort

If true, the value returned by ServletRequest.getLocalPort() and ServletRequest.getServerPort() is modified by the this valve. If not specified, the default of false is used.

端口ServletRequest.getServerPort() and ServletRequest.getLocalPort()要通过代理机制修改;

那么该属性必须设置;

我们可以从属性推断,Tomcat实际是通过http头的属性,来找到原始IP地址,proxy地址的;

上述属性中需要区分的是internalProxies,trustProxies两个属性,这两个属性都是过滤的:

3.invoke方法源码解析

从invoke方法来看,最开始是保存了原有的request的这些属性,然后再进行原始IP,协议,端口等属性的改变,最后当执行完容器组件的pipeline之后,还原回来,保证整个web交易和原来一样,就像没有改过一样;

glenshappy
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
X-Forwarded-For火狐插件
01-10
X-Forwarded-For火狐插件
forwarded:解析HTTP X-Forwarded-For标
05-11
解析HTTP X-Forwarded-For标 安装 这是可通过使用的模块。 使用完成 : $ npm install forwarded 原料药 var forwarded = require ( 'forwarded' ) 转发(要求) var addresses = forwarded ( req ) 从请求中...
网络安全涉及到的知识积累(5)
m0_52556798的博客
06-07 1567
1.bp里的raw、params、headers、hex几个格式分别表示什么? Raw:web请求的raw格式,包含请求地址、http协议版本、主机、浏 览器信息、Accept可接受的内容类型、字符集、编码方式、cookie等。我们可以手工去修改这些信息,对服务器端进行渗透测试。 params:客户端请求的参数信息、包括GET或者POST请求的参数、 Cookie参数。渗透人员可以通过修改这些请求参数来完成对服务器端的渗透测试。 headers:与Raw显示的信息类似,只是在这里面展示得更直观。 Hex:
Tomcat (org.apache.catalina.valves.RemoteIpValve)的使用
t0m的专栏
06-04 1万+
        在使用Nginx做反向代理后, tomcat的访问日志ip地址始终为127.0.0.1, 是nginx反向代理的地址, 需要访问日志为实际ip地址, 修改tomcat/conf/server.xml文件.        默认如下:<Valve className="org.apache.catalina.valves.AccessLogValve" directory="lo...
tomcat8的Valve Component(阀门组件)之Remote IP Valve远程IP阀门
ystyaoshengting的专栏
09-23 1472
介绍 Tomcat port ofmod_remoteip, this valve replaces the apparent client remote IP address and hostname for the request with the IP address list presented by a proxy or a load balancer via a request h...
Tomcat如何防止X-Forwarded-For
为了生活,不得不努力奋斗!
02-15 203
整改建议: 1、 配置Tomcat过滤器中的remoteIPHeader选项为“X-Forwarded-For”,让Tomcat从正确的请求中取值; 2、 添加header拦截器,在请求到达Tomcat之前,如果发现请求中存在X-Forwarded-For,就把它删掉; 3、 设置合理的Tomcat访问权限,只允许可信任IP地址对Tomcat服务器发起请求; 4、 在nginx服务器端配置p...
负载场景下TongWeb如何获取真实的客户端IP地址
web的博客
11-25 1738
问题描述: 通过负载设备后,TongWeb上的应用通过request.getRemoteAddr()方式得到的是负载设备的IP,而得不到真实的客户端IP。 解决办法: 经过代理以后,由于在客户端和服务之间增加了中间层,因此服务器无法直接拿到客户端的 IP,服务器端应用也无法直接通过转发请求的地址返回给客户端。但是在转发请求的HTTP信息中,增加了X-FORWARDED-FOR信息。用以跟踪原有的客户端 IP地址和原来客户端请求的服务器地址。所以通过 request.getRemote....
Tomcat 利用 RemoteIpValve 对每个request请求的处理规则
大猪头的博客
07-16 6575
文章目录org.apache.catalina.valves.RemoteIpValve的属性1、 remoteIpHeader2、proxiesHeader3、 internalProxies4、trustedProxiestomcat利用RemoteIpValve对请求内容的处理内容 org.apache.catalina.valves.RemoteIpValve的属性 1、 remoteI...
XFF与Referer(含实操)
热门推荐
slj1552560的博客
02-16 2万+
Part1:XFF与Referer基本了解 关于xff和referer维基百科: X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求字段HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器该网页是从哪个页面链接过来的,服务器因此可以获得一些信息用于处理。简单地说,xff是告诉服务器当前请求者的最终iphttp请求字段通常可以直接通过修改http
X-Forwarded-For
yuange
04-25 6090
问题背景 在Web应用开发中,经常会需要获取客户端IP地址。一个典型的例子就是投票系统,为了防止刷票,需要限制每个IP地址只能投票一次。 如何获取客户端IP 在Java中,获取客户端IP最直接的方式就是使用request.getRemoteAddr()。这种方式能获取到连接服务器的客户端IP,在中间没有代理的情况下,的确是最简单有效的方式。但是目前互联网Web应用很少会将应用服务器直接对外提...
X-Forwarded-For详解、如何获取到客户端IP
码者人生的技术博客
01-07 9014
X-Forwarded-For(XFF) 在客户端访问服务器的过程中如果需要经过HTTP代理或者负载均衡服务器,可以被用来获取最初发起请求的客户端的IP地址,这个消息首部成为事实上的标准。在消息流从客户端流向服务器的过程中被拦截的情况下,服务器端的访问日志只能记录代理服务器或者负载均衡服务器的IP地址。如果想要获得最初发起请求的客户端的IP地址的话,那么 X-Forwarded-For 就派上了用场。
java tomcat ip_java-如何在tomcat访问日志中记录客户端IP和...
weixin_42135773的博客
02-16 385
http://www.techstacks.com/howto/configure-access-logging-in-tomcat.html开始:If you are running a version of tomcat greater than version 6.0.21 or tomcat 7, you can take advantage of the new Remote IP V...
X-Forwarded-For Header_0.6.2_0.zip
08-24
此扩展允许您快速更新各种 X-Forwarded-For、X-Originating-IP、X-Remote-IP 和 X-Remote-Addr HTTP 打开Chrome浏览器的扩展程序: 地址栏直接输入:chrome://extensions/ 把下载到的文件解压后,点击加载已...
Chrome插件:X-Forwarded-For Header
12-15
X-Forwarded-For Header插件,此扩展允许您快速设置X-Forwarded-For HTTP
Golang中间件,用于处理X-Forwarded-For标-Golang开发
05-26
Go软件包的X-Forwarded-For中间件xff是net / http中间件/处理程序,用于解析Golang中的Forwarded HTTP Extension。 用法示例安装xff:转到get github.com/sebest/xff编辑server.go:打包主X-Forwarded-For中间件转到...
获取用户Ip地址通用方法与常见安全隐患(HTTP_X_FORWARDED_FOR)
10-27
个来自一些项目中,获取用户Ip,进行用户操作行为的记录,是常见并且经常使用的。 一般朋友,都会看到如下通用获取IP地址方法
x-forward-for:X-Forwarded-For标浏览器扩展
01-30
x转发 X-Forwarded-For标浏览器扩展 得到它 或
x-forwarded-forheader1.0.1.1.1
05-01
x-forwarded-forheader1.0.1.1.1火狐老插件,可以直接本地安装在旧版火狐上面,可以用的。
使用HTTP_X_FORWARDED_FOR获取客户端IP的严重后果
10-29
我的建议是不要再使用上面的方法去获取客户端IP.即是不要再理会代理情况.
如何通过检查请求报文中的X-Forwarded-For字段来获取用户的真实IP地址
最新发布
06-09
当客户端通过代理或负载均衡器等中间节点访问服务器时,这些节点会将客户端的IP地址添加到X-Forwarded-For字段中,然后再将请求发送到服务器。因此,服务器可以通过检查X-Forwarded-For字段获取客户端的真实IP...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值