Nginx 细说proxy_set_header $remote_addr和X-Forwarded-For

最新推荐文章于 2024-08-06 16:51:47 发布
最新推荐文章于 2024-08-06 16:51:47 发布
阅读量2.5w 收藏 62
点赞数 22
分类专栏: Nginx 文章标签: nginx 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34556414/article/details/78185057
版权

先来看下proxy_set_header的语法

语法:proxy_set_header field value;
默认值: 
proxy_set_header Host $proxy_host;
proxy_set_header Connection close;
上下文:httpserverlocation

允许重新定义或者添加发往后端服务器的请求头。value可以包含文本、变量或者它们的组合。 当且仅当当前配置级别中没有定义proxy_set_header指令时,会从上面的级别继承配置。 默认情况下,只有两个请求头会被重新定义:

proxy_set_header Host       $proxy_host;
proxy_set_header Connection close;

 

proxy_set_header也可以自定义参数,如:proxy_set_header test paroxy_test;

如果想要支持下划线的话,需要增加如下配置:

underscores_in_headers on;

 

可以加到http或者server中

语法:underscores_in_headers on|off
默认值:off
使用字段:http, server
是否允许在header的字段中带下划线

 

在java端,需要获取proxy_set_header的参数时,需要使用request.getHeader(field),一般用来获取真实ip地址

 总结:proxy_set_header 就是可设置请求头-并将头信息传递到服务器端。不属于请求头的参数中也需要传递时 重定义下就行啦。

 

使用Nginx后如何在web应用中获取用户ip及原理解释

问题背景:

在实际应用中,我们可能需要获取用户的ip地址,比如做异地登陆的判断,或者统计ip访问次数等,通常情况下我们使用request.getRemoteAddr()就可以获取到客户端ip,但是当我们使用了nginx作为反向代理后,使用request.getRemoteAddr()获取到的就一直是nginx服务器的ip的地址,那这时应该怎么办?

 

part1:解决方案1 X-real-ip $remote_addr;

“经过反向代理后,由于在客户端和web服务器之间增加了中间层,因此web服务器无法直接拿到客户端的ip,通过$remote_addr变量拿到的将是反向代理服务器的ip地址”。这句话的意思是说,当你使用了nginx反向服务器后,在web端使用request.getRemoteAddr()(本质上就是获取$remote_addr),取得的是nginx的地址,即$remote_addr变量中封装的是nginx的地址,当然是没法获得用户的真实ip的,但是,nginx是可以获得用户的真实ip的,也就是说nginx使用$remote_addr变量时获得的是用户的真实ip,如果我们想要在web端获得用户的真实ip,就必须在nginx这里作一个赋值操作,如下:

proxy_set_header    X-real-ip   $remote_addr;

其中这个X-real-ip是一个自定义的变量名,名字可以随意取,这样做完之后,用户的真实ip就被放在X-real-ip这个变量里了,然后,在web端可以这样获取:request.getAttribute("X-real-ip"),这样就明白了吧。

 

当一个请求通过多个代理服务器时,用户的IP将会被代理服务器IP覆盖

#在第一个代理服务器中设置
set x_real_ip=$remote_addr
#最后一个代理服务器中获取
$x_real_ip=IP1

 

part2:解决方案2  X-Forwarded-For $proxy_add_x_forwarded_for

proxy_set_header    X-real-ip $remote_addr;

有了这句就可以在web服务器端获得用户的真实ip,但是,实际上要获得用户的真实ip,不是只有这一个方法,下面我们继续看。

 

$http_x_forwarded_for :

我们先看看这里有个X-Forwarded-For变量,这是一个squid开发的,用于识别通过HTTP代理或负载平衡器原始IP一个连接到Web服务器的客户机地址的非rfc标准,如果有做X-Forwarded-For设置的话,每次经过proxy转发都会有记录,格式就是client1, proxy1, proxy2,以逗号隔开各个地址,由于他是非rfc标准,所以默认是没有的,需要强制添加,在默认情况下经过proxy转发的请求,在后端看来远程地址都是proxy端的ip 。也就是说在默认情况下我们使用request.getHeader("X-Forwarded-For")获取不到用户的ip,如果我们想要通过这个变量获得用户的ip,我们需要自己在nginx添加如下配置:

 

X-Forwarded-For $proxy_add_x_forwarded_for:

意思是增加一个$proxy_add_x_forwarded_for到X-Forwarded-For里去,注意是增加,而不是覆盖,当然由于默认的X-Forwarded-For值是空的,所以我们总感觉X-Forwarded-For的值就等于$proxy_add_x_forwarded_for的值,实际上当你搭建两台nginx在不同的ip上,并且都使用了这段配置,那你会发现在web服务器端通过request.getHeader("X-Forwarded-For")获得的将会是客户端ip和第一台nginx的ip。

 

$proxy_add_x_forwarded_for变量包含客户端请求头中的"X-Forwarded-For",与$remote_addr两部分,他们之间用逗号分开。

举个例子,有一个web应用,在它之前通过了两个nginx转发, 即用户访问该web通过两台nginx。

在第一台nginx中,使用

proxy_set_header            X-Forwarded-For $proxy_add_x_forwarded_for;

现在的$proxy_add_x_forwarded_for变量的"X-Forwarded-For"部分是空的,所以只有$remote_addr,而$remote_addr的值是用户的ip,于是赋值以后,X-Forwarded-For变量的值就是用户的真实的ip地址了。(总结就是获得了客户端的IP)

 

到了第二台nginx,使用

proxy_set_header            X-Forwarded-For $proxy_add_x_forwarded_for;

现在的$proxy_add_x_forwarded_for变量,X-Forwarded-For部分包含的是用户的真实ip,$remote_addr部分的值是上一台nginx的ip地址,于是通过这个赋值以后现在的X-Forwarded-For的值就变成了“用户的真实ip,第一台nginx的ip。(总结就是第二台获取到了第一台IP和客户端的IP)

 

举个例子说明

192.168.179.99->192.168.179.100->192.168.179.101->192.168.179.102(102为最后的服务端)

192.168.179.99配置
      location /{
     proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
      proxy_pass http://192.168.179.100;
     }


192.168.179.100配置
      location /{
     proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
      proxy_pass http://192.168.179.101;
     }


192.168.179.101配置
      location /{
     proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
      proxy_pass http://192.168.179.102;
     }


192.168.179.102配置
在日志中设置打印$http_x_forwarded_for,进行观察
 log_format  main  '$http_x_forwarded_for|$http_x_real_ip|$remote_addr - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"';

(1)客户端使用浏览器去访问192.168.179.99服务端192.168.179.102日志如下,可以看到获取到客户端的IP为192.168.179.4
192.168.179.4, 192.168.179.99, 192.168.179.100|-|192.168.179.101 - - [26/Apr/2020:10:57:22 +0800] "GET / HTTP/1.0" 304 0 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/81.0.4044.122 Safari/537.36" "192.168.179.4, 192.168.179.99, 192.168.179.100"

(2)客户端192.168.179.103去访问192.168.179.99服务端192.168.179.102日志如下,可以看到获取到客户端的IP为192.168.179.103
192.168.179.103, 192.168.179.99, 192.168.179.100|-|192.168.179.101 - - [26/Apr/2020:10:57:32 +0800] "GET / HTTP/1.0" 200 4833 "-" "curl/7.29.0" "192.168.179.103, 192.168.179.99, 192.168.179.100"

可以看到获取客户端的IP地址不仅可以通过proxy_set_header    X-real-ip $remote_addr;获取到也可以通过proxy_set_header  X-Forwarded-For $proxy_add_x_forwarded_for;

富士康质检员张全蛋
关注
专栏目录
HTTP 请求头中的 Remote_Addr,X-Forwarded-For,X-Real-IP | Spring Cloud 13
gmHappy
03-08 1万+
X-Real-IP是一个自定义`Header`。`X-Real-Ip` 通常被 `HTTP` 代理用来表示与它产生 `TCP` 连接的设备 `IP`,这个设备可能是其他代理,也可能是真正的请求端。需要注意的是,`X-Real-Ip` 目前并不属于任何标准,代理和 `Web` 应用之间可以约定用任何自定义头来传递这个信息。 X-Forwarded-For(`XFF`)是用来**识别**通过**HTTP代理**或**负载均衡**方式连接到`Web`服务器的客户端**最原始的`IP`地址的`HTTP`请求字段。
linux下percona-toolkit工具包的安装和使用(超详细版)
weixin_30610755的博客
05-14 711
一.检查和安装与Perl相关的模块 PT工具是使用Perl语言编写和执行的,所以需要系统中有Perl环境。 依赖包检查命令为: rpm -qaperl-DBIperl-DBD-MySQLperl-Time-HiResperl-IO-Socket-SSL 如果有依赖包确实,可以使用下面的命令安装: yum install perl-DBI yum insta...
Nginx配置详解
最新发布
qq_52231508的博客
08-06 262
Nginx配置详解
proxy_set_header和X-Forwarded-For
weixin_30399821的博客
08-28 313
proxy_set_header This directive allows to redefine and to add some request header lines which will be transferred to the proxied server. 这个不是change而是add,我了割草....我分析了好久日志才发现,然后对照官网,果不其然 ex: pro...
nginx反向代理时,X-Forwarded-For 如何设置
热门推荐
lylee1981
06-24 2万+
1 http_x_forwarded_for proxy_add_x_forwarded_for
Nginxproxy_set_header的变量与X-Forwarded-For伪造客户端IP漏洞
kevin的博客
07-14 2423
上面突然说,需要检查Nginx反向代理的安全问题并给出了修改方法,小白的我一脸懵逼,明明都是中文,连在一起咋就看不明白了。于是乎,对着修改内容简单学习了一下,在此做个记录,如有问题请大佬们指点指点。
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
weixin_30826095的博客
05-02 4616
1.nginx 配置模板 server { listen 80; client_max_body_size 512M; proxy_set_header Connection ""; proxy_http_version 1.1; proxy_connect_timeout 300; proxy_read_timeout ...
proxy_set_header Host $host:80; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
06-02
- `proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;`:将代理服务器的 IP 地址和客户端的 IP 地址传递给后端服务器。其中 `$proxy_add_x_forwarded_for` 是 Nginx 的内置变量,代表代理服务器的 IP ...
这段nginx配置是什么意思:server { listen localhost:8848; location / { proxy_pass www.baidu.com; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Host $http_host; proxy_set_header X-Forwarded-Port $server_port; proxy_set_header X-Forwarded-Proto $scheme; } }
07-23
4. 设置代理请求的头部信息,包括Host、X-Real-IP、X-Forwarded-For、X-Forwarded-HostX-Forwarded-Port和X-Forwarded-Proto。 具体解释如下: - `proxy_pass`指令指定将请求转发到www.baidu.com,实现代理功能。 -...
proxy_set_header X-Real-IP $remote_addr; 和 proxy_set_header X-Forwarded-For $remote_addr; 这个因该放在哪里才能防止xxf
07-25
` 和 `proxy_set_header X-Forwarded-For $remote_addr;` 这两行配置添加到代理服务器的 `location` 块中。 根据你的配置文件,你需要将这两行配置添加到以下两个位置: 1. 在 `server` 块中的 `location /` 配置...
upstream fsapiBackend { server 10.20.1.72:8082; server 10.20.1.72:8082 max_fails=10 fail_timeout=30s backup; } upstream fsbulkapiBackend { server 10.20.1.72:8082; } upstream ssapiBackend { server 10.20.1.72:8084; } upstream csapiBackend { server 10.20.1.72:9095; } upstream activityBackend { server 10.20.1.72:8094; } server { listen 80; listen 443 ssl http2; server_name mxapi.hckcooler.com; ssl_certificate /usr/local/openresty/nginx/ssl/mxapi.hckcooler.com/mxapi.hckcooler.com_chain.crt; ssl_certificate_key /usr/local/openresty/nginx/ssl/mxapi.hckcooler.com/mxapi.hckcooler.com_key.key; ssl_session_timeout 5m; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers EECDH+ECDSA+AES128:EECDH+aRSA+AES128:RSA+AES128:!aNULL:!MD5:!RC4; ssl_prefer_server_ciphers on; ssl_stapling on; ssl_stapling_verify on; ssl_trusted_certificate /usr/local/openresty/nginx/ssl/mxapi.hckcooler.com/mxapi.hckcooler.com_chain.crt; location /fs/ { proxy_pass http://fsapiBackend/; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; proxy_http_version 1.1; proxy_set_header Connection ""; } location =/fs/v2/mails/deliver { proxy_pass http://fsapiBackend/v2/mails/deliver; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; proxy_http_version 1.1; proxy_set_header Connection ""; access_by_lua_file ./app/mailLimit.lua; } location /fsbulk/ { proxy_pass http://fsbulkapiBackend/; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; proxy_http_version 1.1; proxy_set_header Connection ""; } location /ss/ { proxy_pass http://ssapiBackend/; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; proxy_http_version 1.1; proxy_set_header Connection ""; } location /approval/ { proxy_pass http://approvalapiBackend/; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; proxy_http_version 1.1; proxy_set_header Connection ""; } location /job/ { proxy_pass http://jobapiBackend/; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; proxy_http_version 1.1; proxy_set_header Connection ""; } }中,mxapi.hckcooler.com代理的是哪个服务
07-25
```nginx location /fs/ { proxy_pass http://fsapiBackend/; ... } location =/fs/v2/mails/deliver { proxy_pass http://fsapiBackend/v2/mails/deliver; ... } ``` 这些配置指定了请求路径以及对应的代理...
如何正确设置nginxremote_addr和x_forwarded_for参数
08-16 2万+
怎样正确设置remote_addr和x_forwarded_for 2013-04-20 做网站时经常会用到remote_addr和x_forwarded_for这两个头信息来获取客户端的IP,然而当有反向代理或者CDN的情况下,这两个值就不够准确了,需要调整一些配置。 什么是remote_addr remote_addr代表客户端的IP,但它的值不是由客户端提供的,而
NGINX proxy_set_header和X-Forwarded-For问题
weixin_33716941的博客
09-12 610
Proxy_set_header This directive allows to redefine and to add some request header lines which will be transferred to the proxied server. 这个不是change而是add,我了割草....我分析了好久日志才发现,然后对照官网,果不其...
Nginx HTTP 请求头中的 X-Forwarded-For
小楼一夜听春雨,深巷明朝卖杏花
07-20 1万+
背景 通过名字就知道,X-Forwarded-For 是一个 HTTP 扩展头部。HTTP/1.1(RFC 2616)协议并没有对它的定义,它最开始是由 Squid 这个缓存代理软件引入,用来表示 HTTP 请求端真实 IP。如今它已经成为事实上的标准,被各大 HTTP 代理、负载均衡等转发服务广泛使用,并被写入 RFC 7239(Forwarded HTTP Extension)标准之中。 X-Forwarded-For 请求头格式非常简单,就这样: X-Forwarded-For: client
Nginx做代理时X-Forwarded-For信息头的处理
weixin_30443813的博客
10-27 904
如今利用nginx做负载均衡的实例已经很多了,针对不同的应用场合,还有很多需要注意的地方,本文要说的就是在通过CDN 后到达nginx做负载均衡时请求头中的X-Forwarded-For项到底发生了什么变化。下图为简单的web架构图: 先来看一下X-Forwarded-For的定义:X-Forwarded-For:简称XFF头,它代表客户端,也就是HTT...
nginx proxy_set_header详解
小楼一夜听春雨,深巷明朝卖杏花
05-16 3686
Nginx 位于负载均衡器或 CDN 后面时,后端服务器看到的客户端 IP 可能是负载均衡器或 CDN 节点的 IP,而不是真实用户的 IP。确保你了解每个设置的安全影响,并遵循最佳实践来保护你的应用程序和数据。时,请确保你的设置与后端服务器的期望相匹配,并进行充分的测试以确保一切按预期工作。主要用于添加或修改头信息,但你也可以通过将其设置为空值来删除不需要的头。你可以通过修改或添加特定的头来控制后端服务器或中间缓存的行为。头的内容,并附加上客户端的 IP 地址。变量的值设置不同的头。
Nginx 配置之 proxy_set_header
小楠的博客
08-22 3968
参数proxy_set_header是用来设置请求头的,设置了请求头后,后端服务器就可以获取到这些变量值。 server { listen 80; server_name 192.168.1.2; error_log /usr/local/etc/nginx/logs/test.error.log; access_log /usr/local/etc/nginx/logs/test.access.log; location /
nginx反向代理proxy_set_header说明
jialiu111111的博客
11-25 5816
默认为on,如果我们在错误日志中发现“SSL3_GET_FINSHED:digest check failed”的情况时,可以将该指令设置为off。#代理HTTPS服务器建立连接时,是否传递SNI信息。#开启代理时校验后端服务器公钥证书。field:变量名 value:变量值。设定被代理服务器接收到的header信息。
评论 9
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值