java http获取真实ip 防止伪造ip

最新推荐文章于 2024-04-26 21:20:05 发布
最新推荐文章于 2024-04-26 21:20:05 发布
阅读量4.9k 收藏 18
点赞数

先说下各个常用请求头.

X-Real-IP 是Nginx的反向代理标志(只包含真实ip)

x-forwarded-for 是Nginx的反向代理标志(包含真实ip和反向代理服务器地址,以“,”隔开,第一个为用户真实ip,后面的是各个层代理服务器ip)

Proxy-Client-IP 是Apache的反向代理标志

WL-Proxy-Client-IP 是WebLogic的反向代理标志

下面看下常用的获取ip方法,如下所示:

public static String getIpAddr(HttpServletRequest request) {

String ipAddress = request.getHeader("x-forwarded-for");

if (ipAddress == null || ipAddress.length() == 0 || "unknown".equalsIgnoreCase(ipAddress)) {

ipAddress = request.getHeader("Proxy-Client-IP");

}

if (ipAddress == null || ipAddress.length() == 0 || "unknown".equalsIgnoreCase(ipAddress)) {

ipAddress = request.getHeader("WL-Proxy-Client-IP");

}

if (ipAddress == null || ipAddress.length() == 0 || "unknown".equalsIgnoreCase(ipAddress)) {

ipAddress = request.getRemoteAddr();

if (ipAddress.equals("127.0.0.1") || ipAddress.equals("0:0:0:0:0:0:0:1")) {

// 根据网卡取本机配置的IP

InetAddress inet = null;

try {

inet = InetAddress.getLocalHost();

} catch (UnknownHostException e) {

e.printStackTrace();

}

ipAddress = inet.getHostAddress();

}

}

// 对于通过多个代理的情况,第一个IP为客户端真实IP,多个IP按照','分割

if (ipAddress != null && ipAddress.length() > 15) { // "***.***.***.***".length()

// = 15

if (ipAddress.indexOf(",") > 0) {

ipAddress = ipAddress.substring(0, ipAddress.indexOf(","));

}

}

return ipAddress;

}

 

上面的方法在测试过程中是能获取到真实ip的,但是前提是用户没有进行伪造。

现在来分析下用户是如何进行伪造请求头。

 

情况1:  服务器使用的是Apache(Proxy-Client-IP请求头)或者是WebLogic(WL-Proxy-Client-IP请求头)反向代理,或者没有使用反向代理

这种情况下,用户可以伪造x-forwarded-for,由于服务器未使用Nginx反向代理,所以不会构造x-forwarded-for,但是用户却伪造了x-forwarded-for,导致在服务器先执行request.getHeader("x-forwarded-for");,所以获取到的ip是用户伪造的。

 

情况2:服务器使用的是WebLogic(WL-Proxy-Client-IP请求头)反向代理,或者没有使用反向代理。

用户可以伪造x-forwarded-for或Proxy-Client-IP请求头,此时服务器获取的是用户的伪造ip。

 

情况3:服务器没有使用反向代理。

用户可以伪造x-forwarded-for或Proxy-Client-IP或WL-Proxy-Client-IP请求头,此时服务器获取的是用户的伪造ip。

 

情况4:服务器使用的是Nginx(x-forwarded-for 请求头)反向代理。

这种情况下可能大家会人为是没问题的,但如果不配置好Nginx,也会获取到伪造的ip。

比如Nginx的配置是proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

这个配置是对x-forwarded-for请求头进行追加ip。如果用户伪造x-forwarded-for请求头的话,Nginx不会覆盖用户伪造的ip,而是追加到后面,这样获取的也是伪造的ip。

解决方法:

 

1):未使用反向代理情况下:

未使用反向代理下,不需要从请求头去获取用户ip,用request.getRemoteAddr();方法就能获取到用户的ip了。

 

2):使用Nginx反向代理情况,代码如下:

public static String getIpAddr(HttpServletRequest request) throws UnknownHostException {



// 从Nginx中X-Real-IP获取真实ip

String ipAddress = request.getHeader("X-Real-IP");



if (ipAddress != null && ipAddress.length() > 0 && !"unknown".equalsIgnoreCase(ipAddress)) {

logger.info("从X-Real-IP中获取到ip:" + ipAddress);

return ipAddress;

}



// 从Nginx中x-forwarded-for获取真实ip

ipAddress = request.getHeader("x-forwarded-for");



if (ipAddress != null && ipAddress.length() > 0 && !"unknown".equalsIgnoreCase(ipAddress)) {

// 对于通过多个代理的情况,第一个IP为客户端真实IP,多个IP按照','分割

int index = ipAddress.indexOf(",");

if (index > 0) {

ipAddress = ipAddress.substring(0, ipAddress.indexOf(","));

}

logger.info("从x-forwarded-for中获取到ip:" + ipAddress);

return ipAddress;

}



ipAddress = request.getRemoteAddr();

if ("127.0.0.1".equals(ipAddress) || "0:0:0:0:0:0:0:1".equals(ipAddress)) {

// 根据网卡取本机配置的IP

ipAddress = InetAddress.getLocalHost().getHostAddress();

}

logger.info("从request.getRemoteAddr()中获取到ip:" + ipAddress);

return ipAddress;



}

 

以上是获取ip代码,另外Nginx还需要配置正确,如果Nginx反向代理有多台,那么在最外层的反向代理服务器加上

proxy_set_header X-Real-IP $remote_addr;

proxy_set_header X-Forwarded-For $remote_addr;

内层的反向代理服务器加上

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

(!注意不要加X-Real-IP配置)

配置好后重启Nginx即可

这样java中获取的ip就是真实的ip了(不考虑用户使用代理或者VPN),即使用户伪造请求头,我们获取到的仍然是真实ip。如果Nginx不想配置X-Real-IP,那么也要删除掉java中对应的获取X-Real-IP代码

来源: http://blog.sina.com.cn/s/blog_13785e1370102x8n9.html

清凉1
关注
  • 0
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
记一次-X-Real-IP、X-Forwarded-For 防止伪造
e_shi_yi_p的博客
11-13 1776
背景:只有一层nginx,获取真实ip防止伪造 nginx 配置 server { listen 443 ssl; server_name localhost; ssl_certificate server.crt; #ssl_certificate cert.pem; ssl_certificate_key server.key; #ssl_certificate_ke
Java伪造ip,Nginx方法
SSS_HuLiang的博客
06-15 2722
问题:伪造ip发送请求,获取到的ip为:111.111.111.111 效果:经处理,获取ip真实的:182.106.239.76 后续可通过真实ip进行限流 解决:配置nginx即可。 若项目没有使用代理,如nginx,则只需修改代码。 String ip = request.getRemoteAddr(); ...
java 伪造http请求ip地址的方法
08-26
主要介绍了java 伪造http请求ip地址的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Java获取真实Ip地址
最新发布
2401_84103512的博客
04-26 456
作为一名即将求职的程序员,面对一个可能跟近些年非常不同的 2019 年,你的就业机会和风口会出现在哪里?在这种新环境下,工作应该选择大厂还是小公司?已有几年工作经验的老兵,又应该如何保持和提升自身竞争力,转被动为主动?就目前大环境来看,跳槽成功的难度比往年高很多。一个明显的感受:今年的面试,无论一面还是二面,都很考验Java程序员的技术功底。最近我整理了一份复习用的面试题及面试高频的考点题及技术点梳理成一份“Java经典面试问题(含答案解析).pdf和一份网上搜集的“Java程序员面试笔试真题库.pdf。
java 伪造http请求ip地址
weixin_34168700的博客
09-27 5033
最近做接口开发,需要跟第三方系统对接接口,基于第三方系统接口的保密性,需要将调用方的请求IP加入到他们的白名单中。由于我们公司平常使用的公网的IP是不固定的,每次都需要将代码提交到固定的服务器上(服务器IP加入了第三方系统的白名单),频繁的修改提交合并代码和启动服务器造成了额外的工作量,给接口联调带来了很大的阻碍。 正常的http请求 我...
Java开发最佳实践手册全网独一份,牛皮轰轰
m0_57081140的博客
06-28 106
spring+spring5最全知识梳理大纲(总) spring最全知识梳理大纲(总) spring5最全知识梳理大纲(总) spring最全知识梳理大纲(分) 为什么要使用Spring? Bean spring事务 面向切面编程(Aspect Oriented Programming) Spring面试 spring5最全知识梳理大纲(分) Spring框架介绍 IOC容器 AOP JdbcTemplate 事务管理 Spring5
X-Forwarded-For客户端IP伪造及防范
wutongyuWxc的博客
05-25 1万+
前言:由于互联网Web应用很少会将应用服务器直接对外提供服务,一般都会有一层Nginx做代理和负载均衡,有的甚至可能有多层代理,并且客户端可以通过伪造http请求头信息x-forwarded-for来伪造IP,那么如何防止伪造IP呢?本文分别从有代理(Nginx)和没有代理两种情况分析如何获取客户端的真实IP。 1. 没有代理 单纯的web应用,没有做代理的情况下,...
Asp.net获取客户端IP常见代码存在的伪造IP问题探讨
10-27
然而,这些字段是可以被客户端直接修改的,因此不应当直接信赖它们来获取真实的客户端IP。 `REMOTE_ADDR`通常被认为是更可靠的IP获取方式,因为它是由服务器接收到的TCP连接的实际源IP地址。理论上,这个值不应该被...
易语言伪造请求ip 伪造请求ip 网页访问伪造ip
03-09
X-Forwarded-For 是一个 HTTP 扩展头部,用来表示HTTP请求端真实 IPHTTP/1.1 协议并没有对它的定义,但现如今X-Forwarded-For已被各大 HTTP 代理、负载均衡等转发服务广泛使用。 X-Forwarded-For 请求头格式: X-...
Apache 获取真实ip的配置的实现方法
09-15
这个模块允许Apache识别通过代理服务器转发的请求,并从HTTP头部获取真实IP。在Apache 2.4版本中,`remoteip`模块已经内置,我们可以通过以下步骤来启用和配置它。 首先,我们需要确保`remoteip`模块已经启用。在...
php 获取客户端的真实ip
10-29
需要注意的是,`HTTP_X_FORWARDED_FOR`可能存在安全风险,因为它可以被恶意用户伪造,导致获取到的IP不是真实IP。因此,仅依赖这些头部信息可能不够安全,尤其是在涉及用户身份验证或敏感数据处理时。在这种情况下,...
java防止xff伪造ip
dinghongyu520的博客
05-17 1667
背景 现在大厂的代码都有安全测评,在渗透测试时可能用会使用改变x-forwarded-for的值伪造客服端IP,网上常见的配置nginx解决,但对于有的不使用nginx或使用其他的代理方式,我们就只能从服务端入手。 解决方案 这里可以用到的Tomcat中的RemoteIpValve,实现逻辑如下图 如上图逻辑可知只需改变internalProxies的默认值即可通过request.getRemoteAddr()获取到客服端真实IP 我这里使用的SpringBoot,在yml文件中配置...
weblogic集群下,程序获取客户端IP获取用户IP的时,节点需要首先启用WL-Proxy-Client-IP
qustbestwyf的专栏
03-09 6144
weblogic集群配置,以下方法可以正常获取客户端的IP nodeA的配置,点击 “环境—服务器—nodeA”, 然后再点击“配置—常规—高级”,勾选“已启用 WebLogic 插件”,保存并激活后,将该服务器重起,对nodeB做同样的配置
安全开发之IP地址伪造
cavalier的学习之路
10-11 1万+
1.1  IP地址伪造漏洞 1.1.1  漏洞挖掘 1.1.1.1  漏洞描述 漏洞描述: IP地址伪造通常是伪造来源IP,为了绕过服务器端IP地址过滤,导致非授权IP地址可以获取更多的防问权限。在正常的TCP/IP 通信中,可以伪造数据包来源 IP 的,但这会让发送出去的数据包返回到伪造IP上,无法实现正常的通信。既然无法实现TCP/IP层级别的IP伪造,那么可以在应用层协议HTTP
request.getRemoteAddr()取不到真实ip解决办法
樂小伍
11-12 3052
request.getRemoteAddr() 取不到真实ip解决办法 我们一般在服务器取客户端ip. 都是用:request.getRemoteAddr()代码就可以了 但是, 也有例外的时候。最近出现了一个问题。 就是request.getRemoteAddr() 取不到真实ip了。。 request.getRemoteAddr()这种方法在大部分情况下都是有效的。 但是在通过了Apache...
request.getRemoteAddr() 获取客户端IP的陷阱
我们轻松了,并不是生活越来越容易了,而是我们越来越强
03-01 715
如服务器使用了反向代理,request.getRemoteAddr() 获取ip将是127.0.0.1或者其他,解决方法如下: [code="java"] public String getRemortIP(HttpServletRequest request) { if (request.getHeader("x-forwarded-for") == null) { ...
Java获取IP地址:request.getRemoteAddr()警惕
重生の记忆
11-05 2746
项目中需要和第三方平台接口,加了来源IP鉴权功能,测试时发现没有问题,但是部署以后发现存在问题,一直鉴权不通过,一群人抓瞎。   我找到那块的代码,跟了一遍流程发现逻辑没有啥问题,但是最终的结果却还是鉴权不通过,实在有些诡异。其基本逻辑为先取得配置的IP列表,然后通过request.getRemoteAddr()取得客户端的IP地址,做鉴权和校验,逻辑没问题,那么肯定是request.getR...
headerIP php_PHP正确获取客户端IP地址
weixin_39990029的博客
12-22 362
现状目前主流的函数方法:function getIp(){if ($_SERVER["HTTP_CLIENT_IP"] && strcasecmp($_SERVER["HTTP_CLIENT_IP"], "unknown")) {$ip = $_SERVER["HTTP_CLIENT_IP"];} else {if ($_SERVER["HTTP_X_FORWARDED_FOR"]...
Java 通过Request请求获取IP地址
热门推荐
大大的微笑的专栏
05-14 5万+
Java 通过Request请求获取IP地址项目需要将不同省份的用户,展示不同内容,所以需要通过Request请求获取IP地址。先来贴代码, 如果你要在生产环境使用就直接拿去用吧,我这边已经上线了。代码public class IpAdrressUtil { /** * 获取Ip地址 * @param request * @return */
Java如何获取客户端ip
06-07
Java 中,可以使用 Servlet API 中的 `HttpServletRequest` 对象来获取客户端 IP。具体方法如下: ```java import javax.servlet.http.HttpServletRequest; public String getClientIpAddress(HttpServletRequest request) { String ip = request.getHeader("X-Forwarded-For"); if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) { ip = request.getHeader("Proxy-Client-IP"); } if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) { ip = request.getHeader("WL-Proxy-Client-IP"); } if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) { ip = request.getRemoteAddr(); } return ip; } ``` 这个方法会尝试从多个 HTTP 头中获取客户端 IP,如果无法获取则返回 `request.getRemoteAddr()`。其中,`X-Forwarded-For` 是一个常见的 HTTP 头,用于指示客户端的原始 IP 地址,但该头可以被伪造,因此需要进行一些处理。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值