代理http请求获取客户端IP

最新推荐文章于 2024-03-17 09:55:48 发布
最新推荐文章于 2024-03-17 09:55:48 发布
阅读量893 收藏
点赞数
分类专栏: java
原文链接:https://blog.csdn.net/fengwind1/article/details/51992528
版权

外界流传的JAVA/PHP服务器端获取客户端IP都是这么取的:
伪代码:
1)ip = request.getHeader("X-FORWARDED-FOR ")
2)如果该值为空或数组长度为0或等于"unknown",那么:
ip = request.getHeader("Proxy-Client-IP")
3)如果该值为空或数组长度为0或等于"unknown",那么:
ip = request.getHeader("WL-Proxy-Client-IP")
4)如果该值为空或数组长度为0或等于"unknown",那么:
ip = request.getHeader("HTTP_CLIENT_IP")

5)如果该值为空或数组长度为0或等于"unknown",那么:

ip = request.getHeader("X-Real-IP")

6)如果该值为空或数组长度为0或等于"unknown",那么:

ip = request.getRemoteAddr ()

先说说这些请求头的意思

X-Forwarded-For

这是一个 Squid 开发的字段,只有在通过了 HTTP 代理或者负载均衡服务器时才会添加该项。格式为X-Forwarded-For: client1, proxy1, proxy2,一般情况下,第一个ip为客户端真实ip,后面的为经过的代理服务器ip。现在大部分的代理都会加上这个请求头

Proxy-Client-IP/WL- Proxy-Client-IP

这个一般是经过apache http服务器的请求才会有,用apache http做代理时一般会加上Proxy-Client-IP请求头,而WL- Proxy-Client-IP是他的weblogic插件加上的头

HTTP_CLIENT_IP

有些代理服务器会加上此请求头

X-Real-IP

nginx代理一般会加上此请求头。

 

有几点要注意

1、这些请求头都不是http协议里的标准请求头,也就是说这个是各个代理服务器自己规定的表示客户端地址的请求头。如果哪天有一个代理服务器软件用oooo-client-ip这个请求头代表客户端请求,那上面的代码就不行了。

2、这些请求头不是代理服务器一定会带上的,网络上的很多匿名代理就没有这些请求头,所以获取到的客户端ip不一定是真实的客户端ip。代理服务器一般都可以自定义请求头设置。

3、即使请求经过的代理都会按自己的规范附上代理请求头,上面的代码也不能确保获得的一定是客户端ip。不同的网络架构,判断请求头的顺序是不一样的。

4、最重要的一点,请求头都是可以伪造的。如果一些对客户端校验较严格的应用(比如投票)要获取客户端ip,应该直接使用ip = request.getRemoteAddr (),虽然获取到的可能是代理的ip而不是客户端的ip,但这个获取到的ip基本上是不可能伪造的,也就杜绝了刷票的可能。(有分析说arp欺骗+syn有可能伪造此ip,如果真的可以,这是所有基于TCP协议都存在的漏洞),这个ip是tcp连接里的ip。

 

 

 

 

request方法客户端IP: request.getRemoteAddr()  输出:192.168.0.106
客户端主机名:request.getRemoteHost()输出:abc
request.getHeader("Host") 输出:192.168.0.1:8080
Web服务器名字:request.getServerName()输出:192.168.0.1
服务器监听的端口:request.getServerPort()输出:8080

 

在JSP里,获取客户端的IP地址的方法是:request.getRemoteAddr(),这种方法在大部分情况下都是有效的。
但是在通过了 Apache,Squid等反向代理软件就不能获取到客户端的真实IP地址了。
如果使用了反向代理软件,用 request.getRemoteAddr()方法获取的IP地址是:127.0.0.1或 192.168.1.110,而并不是客户端的真实IP。
经过代理以后,由于在客户端和服务之间增加了中间层,因此服务器无法直接拿到客户端的 IP,服务器端应用也无法直接通过转发请求的地址返回给客户端。
但是在转发请求的HTTP头信息中,增加了X-FORWARDED-FOR信息。用以跟踪 原有的客户端IP地址和原来客户端请求的服务器地址。
当我们访问index.jsp/时,其实并不是我们浏览器真正访问到了服务器上的index.jsp 文件,而是先由代理服务器去访问index.jsp ,
代理服务器再将访问到的结果返回给我们的浏览器,因为是代理服务器去访问index.jsp的,
所以index.jsp中通过 request.getRemoteAddr()的方法获取的IP实际上是代理服务器的地址,并不是客户端的IP地址。
于是可得出获得客户端真实IP地址 的方法一:
public String getRemortIP(HttpServletRequest request) { 
if (request.getHeader("x-forwarded-for") == null) { 
return request.getRemoteAddr();
}
return request.getHeader("x-forwarded-for");
}

 

获得客户端真实IP地址的方法二:
public String getIpAddr(HttpServletRequest request) { 

可是,如果通过了多级反向代理的话,X-Forwarded-For的值并不止一个,而是一串IP值,
究竟哪个才是真正的用户端的真实IP呢?答案是取 X-Forwarded-For中第一个非unknown的有效IP字符串。
如: X-Forwarded-For:192.168.1.110, 192.168.1.120, 192.168.1.130, 192.168.1.100 用户真实IP为: 192.168.1.110

 

复制代码

String ip = request.getHeader("x-forwarded-for"); 
if(ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) { 
ip = request.getHeader("Proxy-Client-IP");
} 
if(ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) { 
ip = request.getHeader("WL-Proxy-Client-IP");
} 
if(ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) { 
ip = request.getRemoteAddr();
}
return ip;
}
金朋
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
socket read time out解决方法_深入浅出讲解:php的socket通信
weixin_39834745的博客
11-27 5016
来源:https://www.cnblogs.com/aipiaoborensheng/p/6708963.html对TCP/IP、UDP、Socket编程这些词你不会很陌生吧?随着网络技术的发展,这些词充斥着我们的耳朵。那么我想问:什么是TCP/IP、UDP?Socket在哪里呢?Socket是什么呢?你会使用它们吗?什么是TCP/IP、UDP?TCP/IP(Transmission ...
headerIP php_PHP正确获取客户端IP地址
weixin_39990029的博客
12-22 362
现状目前主流的函数方法:function getIp(){if ($_SERVER["HTTP_CLIENT_IP"] && strcasecmp($_SERVER["HTTP_CLIENT_IP"], "unknown")) {$ip = $_SERVER["HTTP_CLIENT_IP"];} else {if ($_SERVER["HTTP_X_FORWARDED_FOR"]...
HttpServletRequest对象中获取客户端IP地址
解决bug的路上
06-16 9027
HttpServletRequest对象中获取客户端IP地址
headerIP php_php搞定ip伪装的两种方式
weixin_32769015的博客
02-23 537
第一种:写了段代码伪装ip,原理是,客户访问网站,获取客户ip,伪装客户ip去访问数据源。采集后处理缓存到/tmp公共目录(省了空间,不占用自己的空间),然后输出到客户浏览器。代码如下:$url = "http://www.baidu.com";$host = 'www.baidu.com';$data = "要发送的数据";$ip='121.186.1.57';$headers['CLIENT-...
服务端获取客户端ip方法
无助的木头人的博客
12-28 9659
X-Forwarded-For X-Forwarded-For:简称XFF头,它代表客户端,也就是HTTP的请求端真实的IP,只有在通过了HTTP 代理或者负载均衡服务器时才会添加该项。它不是RFC中定义的标准请求头信息,在squid缓存代理服务器开发文档中可以找到该项的详细介绍。标准格式如下:X-Forwarded-For: client1, proxy1, proxy2。 外文名 X...
thinkphp如何获取客户端IP
12-19
除了上述方法,还有其他方式可以获取客户端IP,例如使用`$_SERVER`数组中的其他成员,如`HTTP_VIA`、`HTTP_X_REAL_IP`等。然而,这些方法的可靠性依赖于服务器配置和网络环境,因此在实际应用中可能需要进行额外的...
c#获取客户端IP地址(考虑代理)
01-21
 在Web开发中,我们大多都习惯使用HTTP请求头中的某些属性来获取客户端IP地址,常见的属性是REMOTE_ADDR、HTTP_VIA和HTTP_X_FORWARDED_FOR。  这三个属性的含义,大概是如此:(摘自网上,欢迎指正)  
PHP实现获取客户端IP获取IP信息
10-24
以下代码展示了如何编写一个名为`getClientIp`的函数,用于获取客户端IP地址: ```php function getClientIp($type = 0) { $ip = NULL; // 检查HTTP_X_FORWARDED_FOR if (isset($_SERVER['HTTP_X_FORWARDED_FOR'...
Java面试之如何获取客户端真实IP
08-25
Java获取客户端真实IP ...在Java中获取客户端真实IP需要使用X-Real-IP和X-Forwarded-For请求头,并在nginx配置文件中添加相应的配置。这样,我们就可以获取客户端的真实IP,并实现分享功能的地区辨识功能。
WebViewProxy: 动态代理Web视图中的请求
最新发布
gitblog_00001的博客
03-17 380
WebViewProxy: 动态代理Web视图中的请求 WebViewProxy 是一个强大的工具,它允许您在Android的Webview中动态地代理网络请求。这款开源库由 Marcus Westin 开发并维护,可以帮助开发者轻松地处理 Webview 中的网络流量。 什么是WebViewProxy? WebViewProxy是一个轻量级且高效的库,通过替换WebViewClient和WebV...
从request中获取客户端IP地址
热门推荐
xjiuge的博客
08-03 1万+
/** * 从request中获取请求方IP * @param request * @return */ public static String getIpAddress(HttpServletRequest request) { String ip = request.getHeader("x-forwarded-for"); if...
request获取客户端ip
10-29 1004
一般情况下可以使用request.getRemoteAddr(); 在使用了代理服务器的时候,再使用request.getRemoteAddr()方法,返回的是127.0.0.1 或者代理服务器的ip。这个时候可以使用request.getHeader("x-forwarded-for")来获取客户端ip,这是常用方法。 有时候代理服务器会关闭这一设置,所以request.g
全网显示 IP 归属地,用上这个开源库,实现也太简单了
m0_72134256的博客
08-10 692
细心的小伙伴可能会发现,最近蘑菇新上线了属地的功能,小伙伴在发表动态、发表评论以及聊天的时候,都会显示自己的属地信息动态显示IP属地在蘑菇群聊中,也 可 以 展 示 IP 属 地,下面是小伙伴们在交流群中显示的下面,我就来讲讲,中是如何获取属地的,主要分为以下几步首先需要写一个获取的工具类,因为每一次用户的请 求,都会携带上请求的地 址放到请求头中。这里有三个名词,分别是在我们获取到用户 的地址后,那么就可以获取对应的信息了蘑菇最开始使用的是淘宝库接入方式也比较简单,就是通过封装一个。...
在Apache服务器上如何从HTTP header中提取客户端X-ClientIP
weixin_34221332的博客
04-09 509
在很多负载均衡设备的部署过程中,我们都无法更改服务器的网关(Gateway)地址,不能将其指向负载均衡设备,通常我们把这种部署方式称之为“单臂”或者“旁路”部署。在这种部署方式下,往往在负载均衡设备上需要启用源地址转换(Source NAT)功能,以保证服务器返回的数据包都通过负载均衡设备。如图所示,其中“AX-IP”就是配置在负载均衡设备上的Source N...
Tomcat/HTTP Server下如何获取客户端的真实ip地址
Jackxin Xu IT技术专栏
05-06 6941
有时候我们需要需要获得客户端真实的IP,例如认证。一般情况下,在tomcat中获得HTTP访问时客户端IP方法如下:httpServletRequest.getRemoteHost()然而,经常我们会配置Apache或nginx代理,这时候就通过上面的方法就无法获得真实的客户端IP。通过nginx代理,通过httpServletRequest.getRemoteHost()获得是代理服务器的地址...
HttpServletRequest的获取客户端真实IP
weixin_30349597的博客
07-03 552
  摘自:http://chenyoulu.diandian.com/post/2012-11-14/40042540378   request方法客户端IP: request.getRemoteAddr() 输出:192.168.0.105   客户端主机名:request.getRemoteHost()输出:pc-abc   request.getHeader(“Host”) 输出:19...
获取客户端ip地址(可以穿透代理)
luckyZQC的博客
04-29 635
import javax.servlet.http.HttpServletRequest; /** * @Descripation: * @Author: zqc * @Date: 2020/4/10 13:45 * @since 1.0 */ public class ClientIpUtil { private static final String[] HEADERS...
weblogic集群下,程序获取客户端IP获取用户IP的时,节点需要首先启用WL-Proxy-Client-IP
qustbestwyf的专栏
03-09 6145
weblogic集群配置,以下方法可以正常获取客户端IP nodeA的配置,点击 “环境—服务器—nodeA”, 然后再点击“配置—常规—高级”,勾选“已启用 WebLogic 插件”,保存并激活后,将该服务器重起,对nodeB做同样的配置
flask 获取客户端IP
05-28
在 Flask 中,可以通过 `request` 对象的 `remote_addr` 属性来获取客户端IP 地址。这个属性返回发送请求的客户端IP 地址,但是它可能会被代理服务器篡改,因此不能保证完全准确。 以下是一个获取客户端 IP 地址的 Flask 应用程序示例: ``` from flask import Flask, request app = Flask(__name__) @app.route('/') def index(): ip = request.remote_addr return 'Your IP address is: {}'.format(ip) if __name__ == '__main__': app.run() ``` 在上述示例中,我们定义了一个路由,处理 HTTP GET 请求,并从 `request` 对象的 `remote_addr` 属性获取客户端 IP 地址,并将其作为字符串格式化到响应中返回。当客户端通过浏览器访问该应用程序时,它会显示客户端IP 地址。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值