HTTP 请求头中的 X-Forwarded-For

最新推荐文章于 2024-04-15 00:43:03 发布
最新推荐文章于 2024-04-15 00:43:03 发布
阅读量2w 收藏 48
点赞数 9
分类专栏: 协议 # nginx
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liuxiao723846/article/details/107730736
版权
nginx 同时被 2 个专栏收录
41 篇文章 9 订阅
订阅专栏
协议
14 篇文章 1 订阅
订阅专栏

通过名字就知道,X-Forwarded-For 是一个 HTTP 扩展头部。HTTP/1.1(RFC 2616)协议并没有对它的定义,它最开始是由 Squid 这个缓存代理软件引入,用来表示 HTTP 请求端真实 IP。如今它已经成为事实上的标准,被各大 HTTP 代理、负载均衡等转发服务广泛使用,并被写入 RFC 7239(Forwarded HTTP Extension)标准之中。X-Forwarded-For 请求头格式非常简单,就这样:

X-Forwarded-For: client, proxy1, proxy2

 

可以看到,XFF 的内容由「英文逗号 + 空格」隔开的多个部分组成,最开始的是离服务端最远的设备 IP,然后是每一级代理设备的 IP。

如果一个 HTTP 请求到达服务器之前,经过了三个代理 Proxy1、Proxy2、Proxy3,IP 分别为 IP1、IP2、IP3,用户真实 IP 为 IP0,那么按照 XFF 标准,服务端最终会收到以下信息:

X-Forwarded-For: IP0, IP1, IP2

 

Proxy3 直连服务器,它会给 XFF 追加 IP2,表示它是在帮 Proxy2 转发请求。列表中并没有 IP3,IP3 可以在服务端通过 Remote Address 字段获得。我们知道 HTTP 连接基于 TCP 连接,HTTP 协议中没有 IP 的概念,Remote Address 来自 TCP 连接,表示与服务端建立 TCP 连接的设备 IP,在这个例子里就是 IP3。

Remote Address 无法伪造,因为建立 TCP 连接需要三次握手,如果伪造了源 IP,无法建立 TCP 连接,更不会有后面的 HTTP 请求。不同语言获取 Remote Address 的方式不一样,例如 php 是 $_SERVER["REMOTE_ADDR"],Node.js 是 req.connection.remoteAddress,但原理都一样。

问题

有了上面的背景知识,开始说问题。用 Node.js 写了个最简单的 Web Server。HTTP 协议跟语言无关,可换成任何其他语言;另外用 Nginx 也是一样的道理,如果有兴趣,可换成 Apache也一样。

1、在远程linux(10.39.16.31)运行下面代码,该程序收到 HTTP 请求后,输出一些信息:

 

这段代码除了前面介绍过的 Remote Address 和 X-Forwarded-For,还有一个 X-Real-IP,这又是一个自定义头部字段。X-Real-IP 通常被 HTTP 代理用来表示与它产生 TCP 连接的设备 IP,这个设备可能是其他代理,也可能是真正的请求端。需要注意的是:X-Real-IP 目前并不属于任何标准,代理和 Web 应用之间可以约定用任何自定义头来传递这个信息。

2、在远程linux(10.49.16.97)上配一个 Nginx 反向代理:

 

3、接下来我们做一组测试:

1)在远程window上,通过浏览器直接访问nodejs服务:

 

我windows的IP是10.2.148.143,由于是直接连到Node.js 服务,Remote Address 就是我windows的 IP(用户真实IP)。同时我并未指定额外的自定义头,所以后两个字段都是 undefined。

2)在远程window上,通过nginx访问nodejs服务:

 

这一次,由于是通过 Nginx 访问 Node.js 服务,所以得到的 Remote Address 实际上是 Nginx 的本地 IP(nginx和nodejs服务建立的TCP连接);此外,nginx中那两行配置也起了作用,X-Forwarded-For值是用户真实IP,x-real-ip值是windows和代理服务器nginx建立TCP连接的IP,也是用户真实IP。

3)在远程window上伪造Http头信息,通过nginx访问nodejs服务:

 

这次看到,Remote Address 和x-real-ip没有变化和上面的一样,但是X-Forwarded-For最前面加了伪造的值,本来在X-Forwarded-For中最前面的IP表示用户真实IP,但是由于有了伪造信息,这个值不可靠了。

总结

1、三种IP具体含义:

  • Remote Address:他是TCP中的概念,是无法伪造的,在应用程序中获取到的Remote Address值,是直接和应用服务器建立TCP连接的IP,可能是用户真实ip(用户直接访问应用服务器时),也可能是代理服务器(通过nginx负载均衡代理时);
  • X-Real-IP:它不是标准规范,其值是与代理服务器建立TCP连接的IP,该值可能是真实ip,也可能是其他代理服务器IP;
  • X-Forwarded-For:它是http的一个标准规范,其值是X-Forwarded-For: client, proxy1, proxy2... 由于可以伪造,所以在一些安全场景下获取用户真实ip不可靠。

2、如何获取用户真实IP:

经过上面讨论其实不难得出结论,要获取用户真实IP,在安全情况下是比较难的。通常是在客户端请求时带上自己的ip。

参考:

https://imququ.com/post/x-forwarded-for-header-in-http.html

赶路人儿
关注
  • 9
    点赞
  • 48
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
http header 请求头 x-forwarded-for
MaoVazquez的博客
12-27 955
如果请求通过了多个代理服务器,X-Forwarded-For 的值会成为一个逗号分隔的IP地址列表,其第一个IP地址是最初的客户端IP,后面的IP地址是间代理的IP地址。是一个常见的 HTTP 请求头字段,用于表示客户端的原始 IP 地址。在这个例子,客户端的原始IP地址是。,而请求通过了一个代理,其IP地址是。
Chrome插件:X-Forwarded-For Header
12-15
在描述提到的“X-Forwarded-For Header插件”是一个工具,允许用户便捷地配置HTTP请求的`X-Forwarded-For`头。这个插件对于网络管理员、开发者以及需要跟踪和分析网络流量的人员尤其有用。通常情况下,当一个...
渗透测试-XFF漏洞攻击原理及防御方案
最新发布
lza20001103的博客
04-15 2333
渗透测试-XFF漏洞攻击原理及防御方案
XXF(x-forwarded-for)
qq_41851849的博客
03-06 259
HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器该网页是从哪个页面链接过来的,服务器因此可以获得一些信息用于处理。TCP/IP层面的IP伪造很难实现,因为更改后很难实现正常的TCP通信,但在HTTP层面的伪造就显得很容易。,让我们伪造xff和referer,burprepeter模块修改了题目指定的xff和referer。2:用burp抓包,发送到repeater模块进行增加,修改(ps:referer也可以修改。
XFF(X-FORWARDED-FOR)
慎铭的博客
02-03 7745
  XFF(X-FORWARDED-FOR)是http的拓展头部,作用是使Web服务器获取访问用户的IP真实地址(可伪造)。由于很多用户通过代理服务器进行访问,服务器只能获取代理服务器的IP地址,而xff的作用在于记录用户的真实IP,以及代理服务器的IP。 格式: X-Forwarded-For: 本机IP, 代理1IP, 代理2IP, 代理3IP ...
nginx 从$http_x_forwarded_for 获取第一个参数
cn_yaojin
02-26 1238
变量通常包含了客户端的原始 IP 地址以及可能经过的代理服务器的 IP 地址列表,这些地址由逗号分隔。截取第一个参数(即最左边的 IP 地址),你可以使用 Nginx 的内置变量处理功能。变量来引用截取后的第一个 IP 地址。现在,你可以在你的 Nginx 配置使用。使用它来记录这个 IP 地址,或者在。下面是一个示例配置,展示了如何截取。使用它来记录访问日志。在 Nginx
HTTP_X_FORWARDED_FOR获取到的IP地址
热门推荐
ccfxue的博客
06-24 1万+
使用“HTTP_X_FORWARDED_FOR”获取到的IP地址,有以下几种情况。 ①没有使用代理服务器: REMOTE_ADDR = 您的 IP HTTP_VIA = 没数值或不显示 HTTP_X_FORWARDED_FOR = 无数值或不显示 ②使用透明代理服务器(Transparent Proxies): REMOTE_ADDR = 最后一个代理服务器 IP
forwarded:解析HTTP X-Forwarded-For标头
05-11
从请求解析X-Forwarded-For标头。 以相反的顺序返回地址数组,包括req的套接字地址(即索引0是套接字地址,最后一个索引是最远的地址,通常是最终用户)。 测验 $ npm test 执照 麻省理工学院
X-Forwarded-For Header_0.6.2_0.zip
08-24
此扩展允许您快速更新各种 X-Forwarded-For、X-Originating-IP、X-Remote-IP 和 X-Remote-Addr HTTP 标头 打开Chrome浏览器的扩展程序: 地址栏直接输入:chrome://extensions/ 把下载到的文件解压后,点击加载已...
X-Forwarded-For Header-crx插件
04-02
此扩展名使您可以快速设置X-Forwarded-For HTTP标头 此扩展允许您快速更新X-Forwarded-For,X-Originating-IP,X-Remote-IP和X-Remote-Addr HTTP标头,以进行各种测试。 变更日志:v0.6.2-修复了干扰此扩展的Firefox...
ACSG_v12.0.23以上版本_代理上网支持X-forwarded-For_X-forwarded-By功能说明.pdf
09-24
X-forwarded-For和X-forwarded-By是两个RFC(Request for Comments)标准规定的HTTP头字段,分别用于记录客户端的IP地址和代理服务器的信息。 2.1 概述 X-forwarded-For和X-forwarded-By是两个相互关联的HTTP头字段...
请求头XForwardForXRealFor详解
m0_37642477的博客
03-04 2006
title: 请求头X-Forward-For、X-Real-For详解 date: ‘2020-11-26 00:29:47’ updated: ‘2020-11-26 00:29:47’ tags: [linux] permalink: /articles/2020/11/26/1606321787218.html X-Forward-For 在使用nginx做反向代理时,我们为了记录整个的代理过程,我们往往会在配置文件做如下配置: http { ......... log_forma
request.getHeader("x-forwarded-for")这是什么意思
weixin_30915275的博客
04-19 479
request.getHeader,简单的说就是获取请求的头部信息,根据http协议,它能获取到用户访问链接的信息,以下是我们常用的: request.getHeader("referer"),它主要是用于获取链接的上一个引用。比如,从a.jsp跳转到b.jsp,那在b.jsp获取到的引用就是a.jsp,如果手动刷新,b.jsp,获取到的引用仍然是a.jsp,刷新的时候,会检查服务端是否会有更...
利用HTTP_X_FORWARDED_FOR获取客户端IP(http代理的相关知识)
曾几何时
02-28 3162
Request.ServerVariables变量意义. http代理相关知识Request.ServerVariables["HTTP_VIA"]---------可以获得用户内部的ipRequest.ServerVariables["HTTP_X_FORWARDED_FOR"]---------可以知道代理服务器的服务器名以及端口Request.ServerVariables["REMOTE_
获取用户Ip地址通用方法常见安全隐患(HTTP_X_FORWARDED_FOR)
8292669的专栏
05-29 7501
分析过程 这个来自一些项目,获取用户Ip,进行用户操作行为的记录,是常见并且经常使用的。 一般朋友,都会看到如下通用获取IP地址方法。 function getIP() { if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) { $realip = $_SERVER['HTTP_X_FORWARDED_FOR']; } else
HTTP 请求头的 X-Forwarded-For,X-Real-IP
z69183787的专栏
04-12 3443
https://www.cnblogs.com/diaosir/p/6890825.html X-Forwarded-For 在使用nginx做反向代理时,我们为了记录整个的代理过程,我们往往会在配置文件做如下配置: location / { 省略... proxy_set_header X-Forwarded-For $proxy_add_x_for...
nginx配置允许指定IP访问 (利用$http_x_forwarded_for)
u012549182的博客
11-14 945
获取用户真实IP,并赋值给变量$clientRealIP。编辑 limit_ip.conf。
http请求头什么可以代替 x-forwarded-for
05-15
除了 X-Forwarded-For,还有一些其他的请求头可以用来传递客户端的 IP 地址,例如: 1. CF-Connecting-IP:Cloudflare 的 CDN 服务会添加这个请求头,用来传递客户端的真实 IP 地址。 2. True-Client-IP:Akamai 的 CDN 服务会添加这个请求头,用来传递客户端的真实 IP 地址。 3. X-Real-IP:Nginx 反向代理服务器会添加这个请求头,用来传递客户端的真实 IP 地址。 需要注意的是,这些请求头也可以被伪造,所以在应用需要对客户端 IP 地址进行验证和过滤,以防止恶意攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

赶路人儿

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值