【原创】交互型网页防止IP欺骗的技巧

最新推荐文章于 2024-08-06 23:51:16 发布
最新推荐文章于 2024-08-06 23:51:16 发布
阅读量1.4k 收藏 1
点赞数 1
文章标签: 服务器 网络 通讯 活动
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/loadown/article/details/6517373
版权

        我们都知道,很多交互型网页,比如在线投票、在线答题、在线调查以及在线抽奖等,一般来说都会以用户的IP作为限制条件,限制同一IP的用户参加活动的次数。

        网络上流行着很多所谓取真实客户端IP的代码,无外乎都是通过检查代理来路来获得所谓的“真实IP”,但这个IP真的是“真实”的吗?我看未必,这类作法反倒有些聪明反被聪明误了。

        我们都知道,网页访问的协议是HTTP,而在这个协议的通讯过程中,几乎没有任何可信的数据。之所以这么说,是因为所有的HTTP协议数据都是可以伪造的,而唯一真实的,是请求页面的直接客户端IP。这个IP我们可以通过HTTP环境变量REMOTE_ADDR来获得,这可以说是唯一可信的地址数据了,而另外两个环境变量HTTP_CLIENT_IP和HTTP_X_FORWARDED_FOR,虽然指明了代理来源路径IP,但是很可惜,这些数据是不可靠的,除非你确信代理服务器是可靠的,但这几乎是不可能。

        说到这里,那么到底怎么获得客户端IP才比较靠谱,我的观点是用REMOTE_ADDR来获得直接请求的IP来源,因为这是唯一可靠的数据。如果我们信任了另外两个关于代理服务器的IP信息采用网络上流行的那些所谓取真实IP的方法呢?结果是非常糟糕的,我们会被黑客轻而易举的伪造代理来路IP,然后把我们的投票之类的数据结果刷爆。

        所以说,在需要判断和限制IP的时候,不要考虑所谓的代理IP,那些都是浮云,没有可靠的信息,防止IP欺骗最靠谱的只能是依赖检测直接的访问地址了。

loadown
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
一些不错的网页
墨鱼菜鸡
12-06 2319
http://www.zhengdazhi.com/archives/1749 书签栏 信息收集 二级域名查询,子域名查询-站长帮手网 ZoomEye - Cyberspace Search Engine 360威胁情报中心 SSL证书在线检测工具-中国数字证书CHINASSL ...
网络逻辑漏洞、SQLMAP、Nmap、burpsuite及其命令的使用方法
weixin_65695770的博客
04-07 4149
SQLMAP sqlmap是一种开源的渗透测试工具,可以自动检测和利用SQL注入漏洞以及接入该数据库的服务器。它拥有非常强大的检测引擎、具有多种特性的渗透测试神器、通过数据库指纹提取访问底层文件系统并通过外带连接执行命令。 支持的数据库:MySQL,Oracle, PostgreSQL, SQL Server, Microsoft Microsoft Access, IBM DB2, SQLite, Firebird, Sybase and SAP MAXDB。 sqlmap支持五种不同的注入模
防止IP欺骗 只需轻松配置Cisco IOS
02-14 302
防止IP欺骗 只需轻松配置Cisco IOS 在典IP地址欺骗中,攻击者通常伪造数据包的发送地址,以便自己看起来像是来自内网。这里我们会告诉你可以采取的3个办法,让攻击者的日子不那么好过,使IP地址欺骗也无法轻易得逞。 众所周知,互联网上到处都是安全风险,其中之一便是IP地址欺骗。在典IP地址欺骗中,攻击者通常伪造数据包的发送地址,以便自己看起来像是来自内网。下面让我们讨论3
Kali Linux Web 渗透测试秘籍(三)
龙哥盟
07-15 963
我们目前所见的大部分技巧都尝试利用服务端的漏洞或设计缺陷,并访问它来从数据库中提取信息。有另外一种攻击,使用服务器来利用用户软件上的漏洞,或者尝试欺骗用户来做一些他们通常情况下不会做的事情,以便获得用户拥有的信息。这些攻击就叫做客户端攻击。这一章中,我们会复查一些由攻击者使用,用于从客户端获得信息的技巧,通过社会工程、欺骗或利用软件漏洞。虽然它并不和 Web 应用渗透测试特定相关,我们会涉及它们,因为大多数都是基于 web 的,并且都是非常常见的场景,其中我们在攻击客户端时,能够访问应用和服务器
这一年,这些书:2022年读书笔记
热门推荐
Heartsuit的博客
12-31 3万+
Note: 以下 `markdown` 格式文本由 `json2md` 自动转换生成,可参考[JSON转Markdown:我把阅读数据从MongoDB中导出转换为.md了](https://blog.csdn.net/u013810234/article/details/113360229)了解具体的转换过程。2022年读书笔记
这一年,这些书:2021年读书笔记
Heartsuit的博客
12-31 2万+
Note: 以下 markdown 格式文本由 json2md 自动转换生成,可参考JSON转Markdown:我把阅读数据从MongoDB中导出转换为.md了了解具体的转换过程。 红玫瑰与白玫瑰:张爱玲全集02 作者:张爱玲[中] ISBN:9787530218617 出版社:北京十月文艺出版社 出版日期:2019-02-28 图书标签:张爱玲,短篇小说,文学,红玫瑰与白玫瑰,小说 豆瓣地址: https://book.douban.com/subject/30294358/ 阅读日期:2021-01
[原创]我个人整理的AD/2000技巧,各位收藏吧!60多个。
wangxiaoling的专栏
02-18 1321
无私奉贤!!!!!各位收藏!!还有一部分,整理中1、安装WIN2K免输入序列号方法一:在安装WINDOWS2000的过程中要提示输入注册号,为了使安装更方便,可去处掉安装过程中需要输入注册号这个过程。把安装文件拷贝到硬盘,打开i386目录下的setupp.ini,将PID后面的数字改成51837270,那么在整个安装过程中就不会再问你输入序列号了。 方法二:将该文件内容全部删除后,再改写成如下资料
AD/2000技巧 - 60多条!
技术日志
12-25 1882
[原创]我个人整理的AD/2000技巧,各位收藏吧!60多个。--------------------------------------------------------------------------------1、安装WIN2K免输入序列号方法一:在安装WINDOWS2000的过程中要提示输入注册号,为了使安装更方便,可去处掉安装过程中需要输入注册号这个过程。把安装文件拷贝
《计算机系统与网络安全》 第三章 网络攻击预防与技术
猫头虎:授渔优于赠鱼,兴趣引领智慧,探索之乐尤显珍贵。商务合作:Libin9iOak,共赴知识与乐趣的探索之旅!
06-27 1427
这一节我们来学习网络安全威胁与攻击的分类,安全威胁可以从多个角度来进行分类。首先我们来看,从信息流动的角度,可以分成中段,截取、修改、捏造,从威胁的来源可以分为内部威胁和外部威胁,另外又可以分为自然的威胁和人为的威胁两类。从攻击者的行为上来可以分为主动威胁和被动威胁。从威胁的动机上来看的话,可以分成偶发性的威胁和故意威胁。这题我们来具体看一下,从信息流动的角度,网络安全攻击的类
Unbuntu 服务器- Anaconda安装激活 + GPU配置
NewBaiChen的博客
08-03 307
等待下载完成后,通过 ll 命令可以看到当前路径多了 Anaconda3-2024.06-1-Linux-x86_64.sh。wget https://repo.anaconda.com/archive/ 后面加上图片中的内容。接下来可以在yolov10这个环境中通过 conda install 安装你想要的内容。现在成功安装了Anaconda,接下来可以通过修改。此时可以使用Anaconda创建自己的环境了.点这里,找到最新的适合linux服务器的。完成后,将处于Anaconda的默认。
5分钟上手亚马逊云科技AWS核心云开发/云架构知识 - 创建高可用EC2服务器
最新发布
m0_66628975的博客
08-06 1080
Amazon Elastic Compute Cloud(简称 EC2)是 Amazon Web Services(AWS)提供的一项灵活的云计算服务。它允许用户在云中轻松启动、配置和管理虚拟服务器(称为实例),从而可以根据需要动态扩展计算资源。高可用(High Availability,简称 HA)指的是系统在面临硬件故障、软件错误或其他潜在问题时,仍能提供正常服务的能力。高可用系统通常通过冗余设计和故障自动恢复机制,来最小化服务中断时间,确保系统持续可靠地运行。
63 epoll服务器 (ET模式)
qq_43422358的博客
08-03 918
基于LT模式修改,并加入前面的应用层计算器,实现稍完整的服务器功能1.修改tcp_socket.hpp,新增非阻塞读和非阻塞写接口2.对于accept返回的new_sock加上EPOLLET这样的选项注意:此代码暂时未考虑listen_sock ET的情况,如果将listen_sock设为ET,则需要非阻塞轮询的方式accept,否则会导致同一时刻大量的客户端同时连接的情况,只能accept一次的问题。
笔记:Java生产环境服务器卡顿排查
贰十六的博客
08-06 138
笔记:Java生产环境服务器卡顿排查
在Kylin服务器安装PostgreSQL16数据库
仅此而已
08-06 167
在Kylin服务器安装PostgreSQL16数据库 下载地址`https://www.postgresql.org/ftp/source/v16.3/`
Onenet服务器创建产品和设备
qq_57484399的博客
08-06 217
(8)创建了产品的这两个功能, 然后保存, 去根据这个产品, 创建设备。(7)创建产品属性:产品开发->设置物模->添加自定义功能节点。(3)设备秘钥:(设备管理->设备->详情->设备秘钥)(1)浏览器搜索 Onenet, 或者打开这个网址。温度阈值: (注意标识符是 temp_th)(2)登录注册, 密码特殊符号是 @(1)产品id:EeFC4dZQBP。(3)进入此网址, 设备管理页面。(4)点击产品开发,创建产品。(6)设备接入等信息。根据上传变量进行填写。(2)设备名称:d1。
Boost:asio异步服务器基础
海绵宝宝de派小星的博客
08-03 840
asio异步服务器基础
Linux OOM Killer详解
抛物线的博客
08-06 534
在Linux操作系统中,内存管理至关重要。当系统内存耗尽时,如果不采取措施,会导致系统崩溃。为了解决这个问题,Linux内核引入了一种保护机制——OOM Killer(Out-Of-Memory Killer)。当系统内存耗尽时,OOM Killer会选择并终止一些进程,以释放内存,确保系统继续运行。本博客将详细介绍OOM Killer的技术原理、工作机制,并通过实际场景举例说明其应用。Linux OOM Killer是一种重要的内存保护机制,在系统内存耗尽时通过终止进程来释放内存,确保系统继续运行。
【libevent多线程服务器】--UDP
sunjintaoxxx的博客
08-06 69
【代码】【libevent多线程服务器】--UDP。
远程桌面管理软件,如何使用远程桌面管理软件来远程控制服务器
day3ZY的博客
08-06 265
执行管理任务:利用远程桌面管理软件的强大功能,执行各种管理任务,如查看系统日志、管理系统服务、安装和更新软件等。-获取连接信息:记录远程服务器IP地址、端口号(如果适用)、登录用户名和密码等必要信息,以便后续连接使用。-输入连接信息:根据软件界面提示,输入远程服务器IP地址、端口号(如果软件要求)、登录用户名和密码等信息。-配置服务器:在远程服务器上,根据软件的要求进行必要的配置,如设置防火墙规则、允许远程连接等。-安全设置:确保远程连接的安全性,如使用强密码、启用加密连接、定期更新软件等。
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值