是什么?
nginx作为反向代理时,proxy_set_header设置的请求头是传递给后端服务器的。
为什么?
场景一:
后端服务器想要知道用户的真实IP,就可以通过proxy_set_header来传递给后端服务器。
场景二:
后端服务器想知道这次HTTP请求的整个流程,也可以通过proxy_set_header来传递给它。
怎么用?
在nginx配置文件中的http, server, location中使用。
proxy_set_header Host $host。
proxy_set_header X-Real-IP $remote_addr
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for
说明:
$host:代理服务器本身IP。
$remote_addr:前一节点的IP,并不一定是用户的真实IP。
$proxy_host:代理服务器请求的host,即后端服务器/源站的IP,后端服务器有可能还是代理服务器。
$proxy_port:代理服务器请求的后端服务器的端口。
$http_x_real_ip:获取的是前一节点的X-Real-IP的值。
$http_x_forwarded_for:获取的是前一节点的X-Forwarded-For的值。
详解X-Forwarded-For
比较
proxy_set_header X-Forwarded-For $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
当只有一层代理服务器的情况下,两者的X-Forwarded-For值一致,都是用户的真实IP。
区别
$remote_addr是前一节点的IP,并不一定是用户的真实IP。
$proxy_add_x_forwarded_for变量包含$http_x_forwarded_for与$remote_addr两部分,他们之间用逗号分开。
XFF的格式
X-Forwarded-For: client, proxy1, proxy2
如果一个HTTP请求到达web服务器之前,经过了三个代理Proxy1、Proxy2、Proxy3,IP分别为IP1、IP2、IP3,用户真实IP为IP0,那么按照XFF标准,web服务端最终会收到以下信息:
X-Forwarded-For: IP0, IP1, IP2
XFF最多保留3个IP,所以三层代理的时候,web服务器拿不到Proxy3的IP,此时可以通过$remote_addr获取web服务器的前一节点的IP,即Proxy3的IP。
伪造的XFF
curl localhost/index.html -H 'X-Forwarded-For: unknown'
那么后端web服务器拿到的$http_x_forwarded_for就是包含了伪造的信息。
解决方法:
由于我们第一层代理服务器nginx的IP是固定的,所以我们后端web服务器获取$http_x_forwarded_for的时候,取第一层代理服务器之前的一个IP,就是用户的真实IP了。
场景说明
win10用户的IP:192.168.12.1
nginx-12作为反向代理服务器:192.168.12.12
nginx-13作为后端web服务器:192.168.12.13
场景1
两台nginx都使用proxy_set_header X-Forwarded-For $remote_addr:
1.首先对比nginx-12和nginx-13的日志格式:
nginx-12代理服务器的日志格式:
log_format main '$remote_addr - $remote_user [$time_local] "$request" $http_host '
'$status $body_bytes_sent "$http_referer" '
'"$http_user_agent" "$http_x_forwarded_for"';
nginx-13后端服务器的日志格式:
log_format main '$remote_addr "$http_x_real_ip" - $remote_user [$time_local] "$request" "$http_host" '
'$status $body_bytes_sent "$http_referer" '
'"$http_user_agent" "$http_x_forwarded_for"';
2.访问http://192.168.12.12:8080/:
nginx-12的日志显示:
192.168.12.1 - - [06/Sep/2019:08:08:40 +0800] "GET /proxy_path/index.html HTTP/1.1" 192.168.12.12:8080 304 0 "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.36 SE 2.X MetaSr 1.0" "-"
说明:
最后一个字段"$http_x_forwarded_for"对应的为空值,因为nginx-12之前的服务器并没有传这个值。
nginx-13的日志显示:
192.168.12.12 "192.168.12.1" - - [06/Sep/2019:08:08:40 +0800] "GET /index.html HTTP/1.0" "192.168.12.12:80" 304 0 "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.36 SE 2.X MetaSr 1.0" "192.168.12.1"
说明:
最后一个字段"$http_x_forwarded_for"拿到的是nginx-12的X-Forwarded-For,而nginx-12的X-Forwarded-For的值是nginx-12的$remote_addr,即192.168.12.1。
场景2
两台nginx都使用proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for:
1.访问http://192.168.12.12:8080/
nginx-12的日志显示:
192.168.12.1 - - [06/Sep/2019:08:08:40 +0800] "GET /proxy_path/index.html HTTP/1.1" 192.168.12.12:8080 304 0 "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.36 SE 2.X MetaSr 1.0" "192.168.12.1"
说明:
$http_x_forwarded_for只拿到了"192.168.12.1"这个地址,即客户端的真实IP。
nginx-13的日志显示:
192.168.12.12 "192.168.12.1" - - [06/Sep/2019:08:08:40 +0800] "GET /index.html HTTP/1.0" "192.168.12.12:80" 304 0 "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.36 SE 2.X MetaSr 1.0" "192.168.12.1,192.168.12.12"
说明:
$http_x_forwarded_for拿到了"192.168.12.1,192.168.12.12",即“客户端的真实IP,前面代理服务器的IP”。