Tomcat如何防止X-Forwarded-For

最新推荐文章于 2024-04-10 17:45:55 发布
最新推荐文章于 2024-04-10 17:45:55 发布
阅读量243 收藏
点赞数
文章标签: tomcat java
本文链接:https://blog.csdn.net/qq_43681990/article/details/134330027
版权

整改建议:

1、 配置Tomcat过滤器中的remoteIPHeader选项为“X-Forwarded-For”,让Tomcat从正确的请求头中取值;

2、 添加header拦截器,在请求到达Tomcat之前,如果发现请求头中存在X-Forwarded-For,就把它删掉;

3、 设置合理的Tomcat访问权限,只允许可信任IP地址对Tomcat服务器发起请求;

4、 在nginx服务器端配置proxy_set_header,将X-Forwarded-For设置为空;

5、 在web应用中实现过滤,编写filter,使用request.getHeader(“X-Forwarded-For”),如果取到值,则进行检查,如果不是可信任IP地址,则将取到的值删除。

代码表示:在web应用中实现过滤,编写filter,使用request.getHeader(“X-Forwarded-For”),如果取到值,则进行检查,如果不是可信任IP地址,则将取到的值删除。

方案一配置Tomcat过滤器中的remoteIPHeader选项为“X-Forwarded-For”,让Tomcat从正确的请求头中取值,如何配置示例

X-Forwarded-For可以在Tomcat的server.xml文件中的RemoteIpValve标签中配置,该标签的remoteIpHeader属性可以设置为X-Forwarded-For,表示Tomcat从X-Forwarded-For头中取值:


<Valve className="org.apache.catalina.valves.RemoteIpValve" remoteIpHeader="X-Forwarded-For" /> 
如果你正在使用Apache作为前端网关服务器,你还需要配置正确的模式,使Apache将原始客户端IP地址添加到HTTP请求头中,否则这一配置将无效

方案二:添加header拦截器,在请求到达Tomcat之前,如果发现请求头中存在X-Forwarded-For,就把它删掉,如何实现

实现自定义的Filter,并在doFilter内实现以下逻辑:


//判断请求头中是否包含X-Forwarded-For
if (request.getHeader("X-Forwarded-For") != null) {
    //获取原有的请求头
    String value = request.getHeader("X-Forwarded-For");
    //删除X-Forwarded-For
    request.removeHeader("X-Forwarded-For");
    //重新设置请求头
    request.addHeader("X-Forwarded-For", value);
}

方案三:如何设置合理的Tomcat访问权限,只允许可信任IP地址对Tomcat服务器发起请求,从哪里配置

1、首先,打开Tomcat的conf目录下的server.xml文件,在其中添加如下配置:


<Connector port="8009" address="127.0.0.1" protocol="AJP/1.3" redirectPort="8443" 
                             connectionTimeout="20000" URIEncoding="UTF-8" 
                             acceptCount="200" maxThreads="200" 
                             allowedAddresses="IP地址" /> 

2、确保IP地址已经正确写入允许的IP地址段中,可以同时添加多个IP地址,用逗号隔开:


allowedAddresses="xxx.xxx.xx.x,xxx.xxx.xx.x,xxx.xxx.x.x" 

3、最后,重启Tomcat服务,使配置的IP地址在Tomcat上生效。

方案五:防止伪装IP,否则可以直接使用。

public class Filter implements javax.servlet.Filter{


public void destroy(){
}


public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
throws IOException, ServletException{
/* get x-forwarded-for from request header /
String xForwardedFor = request.getHeader("X-Forwarded-For");
/ check x-forwarded-for IP /
if (xForwardedFor != null) {
/ validate Trust IP /
if (isTrustedIP(xForwardedFor)){
/ trusted IP, do nothing /
} else {
/ untrusted IP, delete X-Forwarded-For value /
xForwardedFor = null;
}
}
/ do filter */
chain.doFilter(request,response);
}


public void init(FilterConfig config) throws ServletException{


}


private boolean isTrustedIP(String ip) {
// TODO: validate trusted IP address
return true;
}
}

我与ChatGPT对话之实际场景应用。

IT技术伪专家
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
Tomcat Access Log记录X-Forwarded-For
晶's blog
08-21 7041
在实际使用中,使用F5或LVS为tomcat做负载均衡时,由于做了反向代理,tomcat记录的Aceess Log中,会将客户端ip记录为F5或lvs的ip,导致无法正常记录访问者的真实ip信息. Tomcat配置中,可以通过修改AceessLogValve/ExtendedAceessLogValve的设置,解决这个问题. Tomcat Log 如何记录Access Log tomcat
X-Forwarded-For等http头字段与Tomcat的 Remote IP Valve(Valve源码分析之六)
glenshappy的专栏
05-19 1174
从invoke方法来看,最开始是保存了原有的request的这些属性,然后再进行原始IP,协议,端口等属性的改变,最后当执行完容器组件的pipeline之后,还原回来,保证整个web交易和原来一样,就像没有改过一样;X-Forwarded-For和X-Forwarded-Proto的信息是很有价值的,在Tomcat中可以通过获取这两个字段的信息,拿到真实的客户端的请求IP和协议;其次,还有一个是X-Forwarded-by字段,该字段是标识为负载均衡proxy的可信代理的IP地址;
Tomcat 获取客户端真实IP X-Forwarded-For
最新发布
weixin_44021888的博客
04-10 645
Tomcat 获取客户端真实IP X-Forwarded-For
X-Forwarded-For绕过服务器IP地址过滤
sworddancing is the best one
07-18 1292
在正常的TCP 通信中,是可以伪造数据包来源 IP 的,但这会让发送出去的数据包返回到伪造的IP上,无法实现正常的通信。 实现TCP层级别的伪造很难,因为很难实现正常的TCP连接;但是在应用层协议HTTP上的实现较容易,通过伪造IP,能欺骗多数服务器应用程序实现通信。 对于绕过服务器的IP地址过滤或者伪造来源IP特别有用,导致的后果就是非授权IP能访问服务器,甚至能钻服务器的漏洞。 HTTP...
阿里云X-Forwarded-For 发现tomcat记录的日志所有来自于SLB转发的IP地址,不能获取到请求的真实IP。...
weixin_34258838的博客
06-06 480
1、背景:阿里云的SLB的负载均衡,在tomcat中获取不到真实IP,而是阿里的内网IP,SLB中俩台或者3台本身是局域网,这里是SLB原理,能够看看。没怎么看懂。呵呵,要细细读下。 2、须要开启tomcat的X-Forwarded-For,在tomcat/conf/server.xml中有一个例如以下的AccessLogValve 日志纪录功能。当配置中的pattern=com...
tomcat+nginx域名配置方法
09-30
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; } } ``` 这里的`server_name`字段应替换为你实际的域名,`proxy_pass`指定了反向代理的目标为上游集群`xx`。 3. **Tomcat配置** 在Tomcat的`...
Windows nginx +多个 tomcat 配置
12-05
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; client_max_body_size 10m; client_body_buffer_size 128k; } 这个配置将所有请求转发到后端服务器上,并设置了反向代理的相关配置。 Tomcat ...
linux下Nginx+Tomcat负载均衡配置方法
09-30
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; } ``` 保存配置并重启Nginx,现在Nginx会将接收到的请求均匀分发给两个Tomcat实例,实现负载均衡。 通过这样的配置,你可以充分利用多个Tomcat实例...
Nginx+Tomcat负载均衡
01-13
tomcatX 在这里表示不同的tomcat,我的两个 tomcat 分别使用 tomcat1和tomcat2;来区分。 这个设置是主要用以tomcat的集群。 如果看不懂可以去看我提供的tomcat我已经改好了。 启动tomcat服务 分别到两个tomcat下,...
tomcat安装及配置教程 Linux下Tomcat+Nginx服务器环境安装配置简明教程.docx
08-25
` proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;` ` }` ` location ~ .*.(js|css)?$ {` ` expires 1h;` ` }` `}` 四、总结 本教程指导用户从头搭建 Linux 下的 Tomcat+Nginx 服务器环境,涵盖了...
tomcat记录X-Forwarded-For字段中的远程IP
weixin_30832983的博客
12-13 434
F5转包时将请求IP记录到X-Forwarded-For字段 最近在做某个系统的安全加固的时候,发现tomcat记录的日志全部来自于F5转发的IP地址,不能获取到请求的真实IP。 经过抓包分析,F5在转发请求包的时候会将来源IP记录在HTTP包header中的X-Forwarded-For字段,如下图是用wireshark(www.wireshark.org/download.htm...
java tomcat ip_java-如何在tomcat访问日志中记录客户端IP和...
weixin_42135773的博客
02-16 390
从http://www.techstacks.com/howto/configure-access-logging-in-tomcat.html开始:If you are running a version of tomcat greater than version 6.0.21 or tomcat 7, you can take advantage of the new Remote IP V...
X-Forwarded-For
成长日记
12-15 136
维基百科,自由的百科全书 “XFF ”和“Grumman FF ”均重定向至此。关于与这些名称同名的其他主题,分别详见“XFF (消歧义) ”和“Grumman FF (消歧义) ”。 HTTP 持久 · 压缩 · 安全 头字段 ETag · Cookie · Referrer · Location ...
阿里云X-Forwarded-For 发现tomcat记录的日志全部来自于SLB转发的IP地址,不能获取到请求的真实IP。
热门推荐
Draco
08-19 1万+
1、背景:阿里云的SLB的负载均衡,在tomcat中获取不到真实IP,而是阿里的内网IP,SLB中俩台或者3台本身是局域网,这里是SLB原理,可以看看,没怎么看懂,呵呵,要细细读下。 2、需要开启tomcat的X-Forwarded-For,在tomcat/conf/server.xml中有一个如下的AccessLogValve 日志纪录功能,当配置中的pattern=common时,对
apache反向代理tomcat时x-forwarded-for为null的问题
老发的记录本
11-19 9860
apache 在用ProxyPass时会自动在header中设置X-Forwarded-For X-Forwarded-Host和X-Forwarded-Server 如果tomcat后端不做设置, 在jsp中用out.println("x-forwarded-for:" + request.getHeader("x-forwarded-for") + "");能获取到客户ip, 但是为了
多重代理时如何防止伪造X-Forwarded-For且获取真实IP
weixin_33949359的博客
09-11 1371
当我们给网站使用例如CDN,Nginx或Varnish等缓存服务时,为了获取访客的真实IP,大多数会地把访客的真实IP赋值给X-Forwarded-For(下文简称XFF)。但是因为XFF是个HTTP请求头,也就是最前面带有http_,因此这类http信息就可以被伪造。其实根据实际使用情况判断是否需要获取XFF内容就不会出现这些问题。拿Nginx的反代理(Proxy模...
tomcat 添加<Valve className="org.apache.catalina.valves.RemoteIpValve" remoteIpHeader="X-Forwarded-For" protocolHeader="X-Forwarded-Proto" protocolHeaderHttpsValue="https"/> 报错valve后必须跟属性规范
06-03
remoteIpHeader="X-Forwarded-For" protocolHeader="X-Forwarded-Proto" protocolHeaderHttpsValue="https" /> ``` 在上面的示例中,我们指定了RemoteIpValve的className,以及必需的remoteIpHeader、...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

IT技术伪专家

你的认可是对我最大的支持!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值