解决:伪造X-Forwarded-For

最新推荐文章于 2024-06-27 16:34:07 发布
最新推荐文章于 2024-06-27 16:34:07 发布
阅读量4.3k 收藏 4
点赞数
分类专栏: 日常问题合集 文章标签: nginx 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_28915045/article/details/123330769
版权

目前很多Web 应用(例如获取用户所在地区,基于 IP 做访问频率控制,禁止某些IP访问等等),为了获取用户真正的 IP,从 HTTP 请求头中获取 IP地址。这些情况下,必须确保获取到的IP地址是真实可靠的。
经过前面的分析和测试,
1.对于直接使用的 Web 应用,必须使用从TCP连接中得到的 Remote Address,才是用户真实的IP;
2.对于使用 nginx 反向代理服务器的Web应用,nginx必须使用Remote Address正确配置set Headers,后端服务器则使用nginx传过来的相应IP地址作为用户真实IP;同时,后端服务器应使用X-Real-IP 或 X-Forwarded-For最后1段IP作为限制,允许自己的nginx服务器访问,禁止其它IP访问,禁止对外提供服务。

上面这解决原理很容易百度到,然后下面是实操;

第一点的解决办法就不用说了,重点说下第二点;

nginx 代理配置加段话 proxy_set_header X-Real-IP $remote_addr;

java获取就String ipAddress = request.getHeader("X-Real-IP");

proxy_set_header X-Real-IP $remote_addr;这个是表示在请求头新增参数X-Real-IP,并且把请求的客户端ip放进去;这里需要注意的是如果有经过多层Nginx代理,例如:

Nginx1->nginx2 ->各个服务;nginx2有配置X-Real-IP,这样的话服务里获取到的X-Real-IP是Nginx1所在的那个服务的ip地址来的,所以正确的是第一层的nginx加上proxy_set_header X-Real-IP $remote_addr; 而后面的nginx就不要加这配置了;

hbj89
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
记一次-X-Real-IP、X-Forwarded-For 防止伪造
e_shi_yi_p的博客
11-13 1790
背景:只有一层nginx,获取真实ip。防止伪造 nginx 配置 server { listen 443 ssl; server_name localhost; ssl_certificate server.crt; #ssl_certificate cert.pem; ssl_certificate_key server.key; #ssl_certificate_ke
X-Forwarded-For和X-Real-IP区分
yuanfengfengyuan的博客
06-16 3090
前言 在做检测产品的时候,碰到了X-Forwarded-For和X-Real-IP这两个HTTP头部字段,这两个一直稀里糊涂的,专门针对两个字段进行了分析和理解。 代理的区分 反向代理和正向代理 企业服务器以集群方式进行部署,并通过负载均衡方式对外提供应用服务,一般负载均衡可以是软件(nginx),也可以是硬件设备,以B/S通信数据(浏览器)为例,我们通过GET方式访问企业域名服务器,负载均衡设备就会按照当前各个子服务器运行状况进行任务分发,分给空闲的服务器,从客户端来看,请求的目的地址就是服务器设备,其实
构建安全的Web应用:防范XFF伪造攻击的策略与实践
最新发布
u013208623的博客
06-27 322
HTTP X-Forwarded-For(XFF)头部常用于识别通过HTTP代理或负载均衡器连接到Web服务器的客户端的原始IP地址。然而,XFF头部可以被伪造,攻击者可以利用这一点来隐藏其真实IP地址,进行恶意活动,如DDoS攻击、IP欺骗等。
利用X-Forwarded-For伪造客户端IP漏洞成因及防范
热门推荐
叉叉哥的BLOG
10-15 6万+
问题背景 在Web应用开发中,经常会需要获取客户端IP地址。一个典型的例子就是投票系统,为了防止刷票,需要限制每个IP地址只能投票一次。 如何获取客户端IP 在Java中,获取客户端IP最直接的方式就是使用request.getRemoteAddr()。这种方式能获取到连接服务器的客户端IP,在中间没有代理的情况下,的确是最简单有效的方式。但是目前互联网Web应用很少会将应用服务器直接对外提...
nginx X-Forwarded-For头伪造漏洞及防范
LOOPY_Y的博客
02-19 3520
X-Forwarded-For 作为 HTTP 请求的扩展头,在请求的过程中可以被直接的进行修改。本人讲述如何通过nginx的配置进行防范
X-Forwarded-For 客户端 IP 伪造过程及防范
笑忘哭的博客
01-18 7859
最近收到一条安全漏洞报告,通过利用代码漏洞,并结合HTTP扩展请求头 X-Forwarded-For 可以对客户端IP进行伪造,以达到非法目的。下面我将对这个漏洞进行介绍。 X-Forwarded-For 介绍 X-Forwarded-For 是一个 HTTP 扩展头部,用来表示HTTP请求端真实 IP,HTTP/1.1 协议并没有对它的定义,但现如今X-Forwarded-For已被各大 HTTP 代理、负载均衡等转发服务广泛使用。 X-Forwarded-For 请求头格式: X-Forwarded-
HTTP 请求头中的 X-Forwarded-For,X-Real-IPnginx
xqhys的博客
08-17 3万+
转发:https://www.cnblogs.com/diaosir/p/6890825.html 在使用nginx做反向代理时,我们为了记录整个的代理过程,我们往往会在配置文件中做如下配置: location / {        省略...         proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;       ...
Chrome插件:X-Forwarded-For Header
12-15
标题“Chrome插件:X-Forwarded-For Header”揭示了本文将深入探讨一个专门针对Google Chrome浏览器的扩展应用,该插件的主要功能是处理和设置HTTP头中的`X-Forwarded-For`字段。`X-Forwarded-For`(简称XFF)头是一...
X-Forwarded-For Nginx 文档整理
01-18
《X-Forwarded-For与Nginx反向代理中的IP追踪详解》 在现代互联网环境中,由于代理服务器和负载均衡器的广泛应用,追踪HTTP请求的真实来源变得复杂。此时,`X-Forwarded-For`头部字段就显得尤为重要。本文将深入...
X-Forwarded-For详细介绍PDF
01-18
例如,"X-Forwarded-For: client1, proxy1, proxy2" 这样的格式表明client1是客户端的IP,proxy1和proxy2分别是两个代理服务器IP。 XFF的主要作用在于: 1. **识别客户端IP**:在多层代理环境中,服务端无法直接...
X-Forwaded-For-Bypass-Limit-access-page:python中使用X-Forwarded-For的用于绕过限制访问页面的简单脚本
04-08
这篇教程将深入探讨如何在Python中编写一个简单的脚本来利用`X-Forwarded-For`字段绕过IP限制访问页面。 `X-Forwarded-For`(XFF)是一个非标准但广泛使用的HTTP扩展头部,主要用于记录客户端的真实IP地址。在负载...
使用HTTP_X_FORWARDED_FOR获取客户端IP的严重后果
10-29
首先,它允许恶意用户通过设置X-FORWARDED-FOR头部伪造自己的IP地址。因为HTTP_X_FORWARDED_FOR是客户端或其代理设置的,服务器端无法验证头部信息的真实性。这就造成了一旦使用了HTTP_X_FORWARDED_FOR来获取IP地址...
特殊的Header头——X-Forwarded-For 与 X-Real-IP 学习
相守之路
07-05 1万+
特殊的Header头X-Forwarded-ForX-Real-IP其他 header 头End-to-end 和 Hop-by-hopEnd-to-end 端到端头部Hop-by-hop 逐跳首部 X-Forwarded-For 存储客户端 ip 和反向 dai li IP 列表,以逗号+空格分隔 记录最后直连实际服务器之前的整个 dai li 过程 可能会被伪造 ip,但是直连实际服务器这段不会被伪造 图示: 可以看到,可以看到,第一层 dai li ,其存储了客户端的 IP,第二层 dai li
nginx的ngx_http_realip_module模块和http头X-Forwarded-For、X-Real-IP
LJLLJL20020628的博客
09-08 246
ngx_http_realip_module模块 realip模块作用:当本机的nginx处于反向代理的后端时可以获取到用户的真实ip。可以让accesslog记录用户真实IP地址。 set_real_ip_from IP1; real_ip_header X-Forwarded-For; real_ip_recursive on; set_real_ip_from —— 设置反向代理...
HTTP 请求头中的 X-Forwarded-For,X-Real-IP
z69183787的专栏
04-12 3461
https://www.cnblogs.com/diaosir/p/6890825.html X-Forwarded-For 在使用nginx做反向代理时,我们为了记录整个的代理过程,我们往往会在配置文件中做如下配置: location / { 省略... proxy_set_header X-Forwarded-For $proxy_add_x_for...
如何正确获取用户 IP (避免透明代理,避免伪造 HTTP_X_FORWARDED_FOR)
weixin_33749131的博客
04-11 1056
2019独角兽企业重金招聘Python工程师标准>>> ...
普通代理IP如何避免被X-Forward-For发现?
ffhh123321的博客
08-22 770
代理IP的一大优势是我们可以通过IP地址的切换,让我们的真实IP地址在上网的时候得到很好的隐藏,根据不同的隐匿效果,代理IP可以分为透明代理、普通代理、高匿代理这几种。 透明代理的隐私度较差,普通代理能够用一些技术手段被破除,那么,是不是用普通代理就一定会被 X-Forward-For 发现? 在解读 RFC7239 - Example Usage 时,我们了解到 X-Forward-For 会记录原始 IP,在使用多层 IP 代理的情况下记录的是上层 IP。利用这个特点,是不是可以伪造一下呢? 既然 X-
HTTP协议—x-forwarded-for&x-real-ip
weixin_44431280的博客
01-16 4380
HTTP协议—x-forwarded-for&x-real-ip字段 提要:Web安全中,通常会需要查看HTTP数据包判断客户端攻击IP,如果客户端进行了代理设置,HTTP协议中查看到的源IP地址将会是代理的地址,不是真实的客户端地址,此时便可以通过HTTP协议中的x-forwarded-for字段和x-real-ip来进行判断。 x-forwarded-for:主要用于记录代理IP,记录从客户端地址到最后一个代理服务器的所有地址 x-real-ip:仅记录真实客户端IP地址 举例:客户端0.0.0
HTTP请求头中的X-Forwarded-For,X-Real-IP
weixin_40857858的博客
06-28 364
PowerDesigner16 画时序图教程
怎么规避F5伪造X-Forwarded-For呗
05-26
F5伪造X-Forwarded-For的问题,可以通过以下几种方式来规避: 1. 使用WAF或CDN等网络安全设备,对请求进行过滤和检查,防止F5伪造X-Forwarded-For。 2. 在应用程序中对X-Forwarded-For请求头进行验证,判断是否为合法的IP地址,并拒绝非法请求。 3. 使用HTTPS协议,对请求进行加密,防止F5伪造X-Forwarded-For。 4. 在F5负载均衡器中开启IP地址透传功能,将客户端真实IP地址透传给后端服务器,而不是使用X-Forwarded-For请求头。 需要根据具体的场景和需求,选择合适的方法来规避F5伪造X-Forwarded-For的问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值