nginx反向代理中的proxy_set_header

最新推荐文章于 2024-05-16 15:02:24 发布
最新推荐文章于 2024-05-16 15:02:24 发布
阅读量8.3k 收藏 28
点赞数 4
分类专栏: Nginx 文章标签: nginx 反向代理 转发服务器 proxy_set_header
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29518275/article/details/100580880
版权

 

是什么?

nginx作为反向代理时,proxy_set_header设置的请求头是传递给后端服务器的。

 

为什么?

场景一:

后端服务器想要知道用户的真实IP,就可以通过proxy_set_header来传递给后端服务器。

场景二:

后端服务器想知道这次HTTP请求的整个流程,也可以通过proxy_set_header来传递给它。

 

怎么用?

在nginx配置文件中的http, server, location中使用。

 

proxy_set_header Host $host。

proxy_set_header X-Real-IP $remote_addr

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for

 

说明:

$host:代理服务器本身IP。

$remote_addr:前一节点的IP,并不一定是用户的真实IP。

$proxy_host:代理服务器请求的host,即后端服务器/源站的IP,后端服务器有可能还是代理服务器。

$proxy_port:代理服务器请求的后端服务器的端口。

 

$http_x_real_ip:获取的是前一节点的X-Real-IP的值。

$http_x_forwarded_for:获取的是前一节点的X-Forwarded-For的值。

 

 

详解X-Forwarded-For

比较

proxy_set_header X-Forwarded-For $remote_addr;

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

当只有一层代理服务器的情况下,两者的X-Forwarded-For值一致,都是用户的真实IP。

 

区别

$remote_addr是前一节点的IP,并不一定是用户的真实IP。

$proxy_add_x_forwarded_for变量包含$http_x_forwarded_for与$remote_addr两部分,他们之间用逗号分开。

 

 

XFF的格式

X-Forwarded-For: client, proxy1, proxy2

 

如果一个HTTP请求到达web服务器之前,经过了三个代理Proxy1、Proxy2、Proxy3,IP分别为IP1、IP2、IP3,用户真实IP为IP0,那么按照XFF标准,web服务端最终会收到以下信息:

X-Forwarded-For: IP0, IP1, IP2

 

XFF最多保留3个IP,所以三层代理的时候,web服务器拿不到Proxy3的IP,此时可以通过$remote_addr获取web服务器的前一节点的IP,即Proxy3的IP。

 

伪造的XFF

curl localhost/index.html -H 'X-Forwarded-For: unknown'

那么后端web服务器拿到的$http_x_forwarded_for就是包含了伪造的信息。

解决方法:

由于我们第一层代理服务器nginx的IP是固定的,所以我们后端web服务器获取$http_x_forwarded_for的时候,取第一层代理服务器之前的一个IP,就是用户的真实IP了。

 

 

场景说明

win10用户的IP:192.168.12.1

nginx-12作为反向代理服务器:192.168.12.12

nginx-13作为后端web服务器:192.168.12.13

 

场景1

两台nginx都使用proxy_set_header X-Forwarded-For $remote_addr

 

1.首先对比nginx-12和nginx-13的日志格式:

nginx-12代理服务器的日志格式:

log_format main '$remote_addr - $remote_user [$time_local] "$request" $http_host '

'$status $body_bytes_sent "$http_referer" '

'"$http_user_agent" "$http_x_forwarded_for"';

 

nginx-13后端服务器的日志格式:

log_format main '$remote_addr "$http_x_real_ip" - $remote_user [$time_local] "$request" "$http_host" '

'$status $body_bytes_sent "$http_referer" '

'"$http_user_agent" "$http_x_forwarded_for"';

 

2.访问http://192.168.12.12:8080/:

nginx-12的日志显示:

192.168.12.1 - - [06/Sep/2019:08:08:40 +0800] "GET /proxy_path/index.html HTTP/1.1" 192.168.12.12:8080 304 0 "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.36 SE 2.X MetaSr 1.0" "-"

 

说明:

最后一个字段"$http_x_forwarded_for"对应的为空值,因为nginx-12之前的服务器并没有传这个值。

 

nginx-13的日志显示:

192.168.12.12 "192.168.12.1" - - [06/Sep/2019:08:08:40 +0800] "GET /index.html HTTP/1.0" "192.168.12.12:80" 304 0 "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.36 SE 2.X MetaSr 1.0" "192.168.12.1"

 

说明:

最后一个字段"$http_x_forwarded_for"拿到的是nginx-12的X-Forwarded-For,而nginx-12的X-Forwarded-For的值是nginx-12的$remote_addr,即192.168.12.1。

 

场景2

两台nginx都使用proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for

 

1.访问http://192.168.12.12:8080/

nginx-12的日志显示:

192.168.12.1 - - [06/Sep/2019:08:08:40 +0800] "GET /proxy_path/index.html HTTP/1.1" 192.168.12.12:8080 304 0 "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.36 SE 2.X MetaSr 1.0" "192.168.12.1"

 

说明:

$http_x_forwarded_for只拿到了"192.168.12.1"这个地址,即客户端的真实IP。

 

nginx-13的日志显示:

192.168.12.12 "192.168.12.1" - - [06/Sep/2019:08:08:40 +0800] "GET /index.html HTTP/1.0" "192.168.12.12:80" 304 0 "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.36 SE 2.X MetaSr 1.0" "192.168.12.1,192.168.12.12"

 

说明:

$http_x_forwarded_for拿到了"192.168.12.1,192.168.12.12",即“客户端的真实IP,前面代理服务器的IP”。

 

程序员的战歌
关注
  • 4
    点赞
  • 28
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Nginx作为反向代理时传递客户端IP的设置方法
01-10
nginx默认配置文件里面是没有进行日志转发配置的,这个需要我们自己手动来操作了,当然后端的real server不同时操作方法是不一样的,这里我们分别例举几种情况来说明一下。 nginx做前端,转发日志到后端nginx服务器: 因为架构的需要采用多级 Nginx 反向代理,但是后端的程序获取到的客户端 IP 都是前端 Nginx 的 IP,问题的根源在于后端的 Nginx 在 HTTP Header 取客户端 IP 时没有取对正确的值。 同样适用于前端是 Squid 或者其他反向代理的情况。 首先前端的 Nginx 要做转发客户端 IP 的配置: location / { proxy_p
让iis记录nginx反向代理的真实ip
01-10
nginx配置示例: 代码如下:server{ location { … proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; … }} 二、在iis站点上安装isapi filter 在f5的开发论坛上找到的,按开发者的话说,是...
Nginx proxy_set_header 理解
yh250648050的博客
01-09 3506
用户认证接口:根据客户端IP和port,进行IP反查和端口范围确认,如符合则用户认证通过。 当前使用的是Nginx负载均衡,从客户端到Nginx端 ip和port都对,从Nginx到应有服务器上-port端口变成很奇怪的端口号。 疑问:Nginx往应有服务器上 是如何 传递 客户端IP和port 参数的呢? 请看 Nginx proxy_set_header Nginx proxy_set_header 允许重新定义或添加字段传递给代理服务器的请求头。该值可以包含文本、变量和它们的组合。在没有定义pr.
nginx proxy_set_header详解
最新发布
小楼一夜听春雨,深巷明朝卖杏花
05-16 2669
Nginx 位于负载均衡器或 CDN 后面时,后端服务器看到的客户端 IP 可能是负载均衡器或 CDN 节点的 IP,而不是真实用户的 IP。确保你了解每个设置的安全影响,并遵循最佳实践来保护你的应用程序和数据。时,请确保你的设置与后端服务器的期望相匹配,并进行充分的测试以确保一切按预期工作。主要用于添加或修改头信息,但你也可以通过将其设置为空值来删除不需要的头。你可以通过修改或添加特定的头来控制后端服务器间缓存的行为。头的内容,并附加上客户端的 IP 地址。变量的值设置不同的头。
零基础自学Nginx 进阶篇 4 Nginx反向代理 4.3 Nginx反向代理的配置语法 4.3.2 proxy_set_header指令
谢谢你们的关注
03-01 92
零基础自学Nginx 进阶篇 4 Nginx反向代理 4.3 Nginx反向代理的配置语法 4.3.2 proxy_set_header指令
[server]Nginx使用$remote_addr获取不到用户真实IP解决
yyp946的博客
01-14 960
如上面配置,接口需要使用的时候获取X-real-ip就可以,但是经过测试以后,发现X-real-ip并不是真实的用户IP,而是Nginx代理服务器的IP,原因就是经过多级代理,$remote_addr是上一级的IP。通过自定义变量获取真实ip,通过ip进行分流操作。
Nginxproxy_set_header设置问题
热门推荐
王景清的博客
01-19 1万+
Host 直接访问 浏览器直接访问服务器 结果:浏览器访问IP+端口 通过Nginx代理访问(不做任何配置) 通过Nginx反向代理,不配置proxy_set_header。 server { listen 8090; server_name _; location / { proxy_pass http://172.31.5.0:5000; } } 结果:proxy_pass+代理端口,即代理IP+代理端口。 $host 设置proxy_set_hea
nginx之配置proxy_set_header
weixin_30323961的博客
07-18 1139
win10客户端请求web服务,win10的ip:192.168.223.1 nginx作为反向代理服务器:192.168.223.136 nginx作为后端web服务器:192.168.223.137 前提条件:配置nginx转发到后端服务器 server { listen 8080; server_name 192.168.223.136; ...
Nginx反向代理proxy_cache_path directive is not allowed错误解决方法
01-10
尝试使用Nginx进行反向代理过程出现如下错误: 代码如下: nginx: [emerg] “proxy_cache_path” directive is not allowed here in /etc/nginx/conf.d/default.conf:29 提示意思“proxy_cache_path指令不被允许”...
ngx_http_proxy_connect_module.zip
06-17
Nginx是一款高性能的Web服务器反向代理服务器,以其高效的并发处理能力、低内存占用和丰富的模块库而著名。它的工作模式基于事件驱动,可以高效地处理大量的连接请求,特别适合用作负载均衡器或缓存服务器。 ngx_...
nginx反向代理时的真实IP_nginx反向代理_
10-02
在IT行业,网络服务器的配置和管理...总的来说,获取Nginx反向代理下的真实IP需要理解Nginx的配置机制,正确设置HTTP头部,并在日志处理使用适当的变量。了解这些技巧,可以更好地管理和优化基于Nginx的网络服务。
Nginxproxy_set_header的变量与X-Forwarded-For伪造客户端IP漏洞
kevin的博客
07-14 2146
上面突然说,需要检查Nginx反向代理的安全问题并给出了修改方法,小白的我一脸懵逼,明明都是文,连在一起咋就看不明白了。于是乎,对着修改内容简单学习了一下,在此做个记录,如有问题请大佬们指点指点。
Nginx反向代理及参数配置
dotNET跨平台
06-19 972
Nginx反向代理是一种常用的服务器代理方式,它可以通过将请求转发到不同的服务器上来实现负载均衡、高可用以及保障服务的安全性。以下是Nginx反向代理的参数配置:proxy_pass该参数指定反向代理的目标服务器地址及端口号,例如:location/{ proxy_passhttp://localhost:8080; }proxy_set_header该参数用于设置HTTP请求头,可...
nginx反向代理proxy_set_header的含义
訪れなかった日曜日的博客
07-27 5312
1、proxy_set_header设置的请求头是传递给后端服务器的 2、ngixn反向代理proxy_set_header的设置: proxy_set_header Host $http_host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto
模块 proxy_set_header
潇峰的博客
05-27 800
允许重新定义传递给代理服务器的请求正文。可以包含文本、变量及其组合。 语法: proxy_set_header field value; 违约: proxy_set_header Host $proxy_host; proxy_set_header Connection close; 上下文: http, ,serverlocation 允许将字段重新定义或追加到传递给代理服务器的请求...
05、Nginx反向代理
码字不易,大家的支持就是我坚持下去的动力
07-05 2757
通过适当的配置,可以根据需求将请求转发到不同的后端服务器,并应用额外的功能,如请求修改、缓存、安全策略等。根据具体的需求和系统架构,还可以结合其他功能和模块,进行更复杂和定制化的配置,以满足特定的业务需求。Nginx可以作为基于反向代理的负载均衡器,将客户端的请求均匀地分发给多个后端服务器,以提高系统的性能和可伸缩性。根据实际需求,你可以根据负载情况和系统要求选择适当的负载均衡策略,或者通过组合不同的策略来实现更复杂的负载均衡配置。在Nginx,网关、代理和反向代理是三种常见的功能,用于转发和处理请求。
Nginx负载均衡代理proxy_set_header设置和透传https协议
oschina_41731918的博客
02-18 5538
Nginx负载均衡代理proxy_set_header设置和透传https协议
nginx 反向代理proxy_set_header
weixin_30532973的博客
05-08 115
proxy_set_header用来设定被代理服务器接收到的header信息。 语法:proxy_set_header field value; field :为要更改的项目,也可以理解为变量的名字,比如host value :为变量的值 如果不设置proxy_set_header,则默认host的值为proxy_pass后面跟的那个域名或者IP(一般写IP) prox...
nginx反向代理proxy_pass
09-16
nginx反向代理proxy_pass用于将客户端的请求转发到指定的后端服务器。通过设置proxy_pass后面的URL,可以指定转发的目标服务器地址和端口。 例如,当设置proxy_pass http://js.test.com/时,nginx会将客户端的请求转发到地址为http://js.test.com/的服务器。 在设置proxy_pass时,需要注意以下几点: 1. URL后面的斜杠(/)的加与不加会影响转发的行为。如果proxy_pass http://js.test.com/,nginx会保留原始请求的URI,并将其附加到目标URL。而如果proxy_pass http://js.test.com,nginx会将原始请求的URI替换为目标URL。 2. 可以在proxy_pass之前使用proxy_set_header指令设置请求头。例如,可以通过proxy_set_header Host js.test.com;设置转发请求的Host头。 回答完问题后,提几个相关问题: 相关问题: 1. nginx反向代理除了proxy_pass,还有哪些常用指令? 2. 如何配置nginx反向代理的负载均衡? 3. nginx反向代理的优缺点是什么?
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值