论X-Forwarded-For伪装代理请求与获取真实ip(springboot项目)

最新推荐文章于 2024-04-25 10:53:15 发布
最新推荐文章于 2024-04-25 10:53:15 发布
阅读量5k 收藏 16
点赞数 5
文章标签: java springboot 获取真实ip
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/rao356/article/details/105128619
版权

以下项目均是基于springboot2.x构建

1、使用X-Forwarded-For 伪装代理

之前做了一个项目,关于xxx抢购,当时是用spring boot做的,主要功能就是实现模拟真实用户登录、抢购等一整套自动化流程。

刚开始可以多任务执行,后面可能是被发现了,导致从服务器发出的抢购请求被限制(因为同一个出口ip),后来为了解决这个问题,找到了X-Forwarded-For 这个 配置, 即在请求头里增加一条X-Forwarded-For记录,该值为一个ip地址,通过伪造请求头,服务端再接收到这个请求后,就会解析X-Forwarded-For里面的值,获取到ip地址,因为我写了一个动态随机生成ip的方法,所以每次获取的ip都不一样,这样就可以欺骗服务器,让它认为是不通客户端的请求。

2、如何防御X-Forwarded-For伪造ip

后面的话,又做了一个项目,这个项目与上一个项目恰恰相反---它是需要获取客户端的真实请求ip的(用于防止伪装请求),因为上一个项目让我知道这个ip是可以伪造的,所以我在网上查了一查如何获取真实IP的方法,以下代码为网上搜素:

/**
	 * 获取请求的ip
	 * @param request
	 * @return
	 */
	public static String getIpAddr(HttpServletRequest request) {
		String ipAddress = null;
		try {
			ipAddress = request.getHeader("x-forwarded-for");
			if (ipAddress == null || ipAddress.length() == 0 || "unknown".equalsIgnoreCase(ipAddress)) {
				ipAddress = request.getHeader("Proxy-Client-IP");
			}
			if (ipAddress == null || ipAddress.length() == 0 || "unknown".equalsIgnoreCase(ipAddress)) {
				ipAddress = request.getHeader("WL-Proxy-Client-IP");
			}
			if (ipAddress == null || ipAddress.length() == 0 || "unknown".equalsIgnoreCase(ipAddress)) {
				ipAddress = request.getRemoteAddr();
				if (ipAddress.equals("127.0.0.1")) {
					// 根据网卡取本机配置的IP
					try {
						ipAddress = InetAddress.getLocalHost().getHostAddress();
					} catch (UnknownHostException e) {
						e.printStackTrace();
					}
				}
			}
			// 通过多个代理的情况,第一个IP为客户端真实IP,多个IP按照','分割
			if (ipAddress != null) {
				if (ipAddress.contains(",")) {
					return ipAddress.split(",")[0];
				} else {
					return ipAddress;
				}
			} else {
				return "";
			}
		} catch (Exception e) {
			e.printStackTrace();
			return "";
		}
	}

那么其实上面一段代码,正常没有经过nginx反向代理服务器的话, 如果客户端通过 X-Forwarded-For 伪造ip,那么基本上就是没有用的了,因为在一开始 ipAddress = request.getHeader("x-forwarded-for"); 这里获取到的ip已经是伪造过的ip了

那么如何识别客户端的真实ip呢,这里面有两个处理方式:

1)无代理

如果只是普通的web项目的话,通过 String ip = request.getRemoteAddr(); (HttpServletRequest 类型) 即可获取到客户端的真实ip

2)Nginx代理

在有代理的情况下,由于任何请求首先经过Nginx,故通过request.getRemoteAddr()获取的其实是Nginx的IP,并非真实的客户端IP;此时通过x-forwarded-for获取的IP为:"客户端,代理1,代理2,..."或者"伪造IP,客户端,代理1,代理2,...",故不能获取到准确的客户端IP,此时需要配置Nginx TCP客户端连接的真实IP,通过代理配置获取真实IP,可以通过$remote_addr获取客户端IP,Nginx配置如下:

location / {
   //追加如下代码
   proxy_set_header X-Real-IP $remote_addr;
   proxy_set_header Host $host;
   proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

}

 然后服务端通过: String ip = request.getHeader("X-Real-IP");    即可获取到客户端的真实ip

 

 

 

 

外柏叁布道者
关注
  • 5
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
负载均衡:x-forward-for获取客户端真实ip
weixin_30667649的博客
03-04 1925
先来看一下X-Forwarded-For的定义: X-Forwarded-For:简称XFF头,它代表客户端,也就是HTTP的请求真实IP,只有在通过了HTTP 代理或者负载均衡服务器时才会添加该项。它不是RFC中定义的标准请求头信息,在squid缓存代理服务器开发文档中可以找到该项的详细介绍。标准格式如下: X-Forwarded-For: client1, proxy1,...
X-Forwarded-For火狐插件
01-10
X-Forwarded-For火狐插件
X-Forwarded-For 获得用户的真实ip
RAVEEE的博客
07-23 5193
什么是X-Forwarded-For? X-Forwarded-For:简称XFF头,它代表客户端,也就是HTTP的请求真实IP,只有在通过了HTTP 代理或者负载均衡服务器时才会添加该项。它不是RFC中定义的标准请求头信息,在squid缓存代理服务器开发文档中可以找到该项的详细介绍。标准格式如下:X-Forwarded-For: client1, proxy1, proxy2。 如何通过...
SpringCloud使用Nginx代理、Gateway网关以后如何获取用户的真实ip
最新发布
My52Hz
04-25 674
微服务架构使用了Nginx代理转发、并且使用了SpringCloud的Gateway统一控制所有请求,现在有个需求: 做一个日子记录切面,需要记录用户请求ip地址。在上述双重背景下,通过普通的方法获取用户ip地址是不可行的,只能获取到引用部署所在服务器的内网地址,必须要做一系列的设置以后才能正确获取到响应的地址。通过上述设置以后,我们就能正常在request请求头中获取相关信息了。
X-Forwarded-For
yuange
04-25 6907
问题背景 在Web应用开发中,经常会需要获取客户端IP地址。一个典型的例子就是投票系统,为了防止刷票,需要限制每个IP地址只能投票一次。 如何获取客户端IPJava中,获取客户端IP最直接的方式就是使用request.getRemoteAddr()。这种方式能获取到连接服务器的客户端IP,在中间没有代理的情况下,的确是最简单有效的方式。但是目前互联网Web应用很少会将应用服务器直接对外提...
4-Web安全——通过x-forward-for获取真实ip(入侵溯源)
网络安全
03-28 6059
参考资料:44-http协议 x-forward-for是http请求的一个字段,该字段表示客户端的IP地址,一般称为“XXF”头,服务端通过这个头可以知道客户端的真实代理IP。x-forward-for字段虽然没有写入RFC标准,但已经应用到http协议中成为一个实施标准了。 x-forward-for字段的格式为: x-forward-for:client1,proxy1,proxy2,proxy3 该字段的ip地址值以逗分隔,其中client1代表真实的客户端的ip地址,...
springboot获取不到客户端ip问题排查
m0_71777195的博客
11-22 3446
而如果你想要获取Client1的地址,也是可以获取到的,就是通过X-Forwarded-For字段;springboot 2.5.7版本中CloudPlatform多了Kubernetes platform的类型识别,如果使用的是内嵌的tomcat,在k8s环境中会自动添加了tomcat的RemoteIpValve,线上环境的httpHeader(x-forwarded-for)只有一个,没有代理ip信息,按RemoteIpValve的逻辑,x-forwarded-for头信息会被删除。
spring boot 学习(十二)拦截器实现IP黑名单
刘hh的成长记录
03-27 2158
原文:spring boot 学习(十二)拦截器实现IP黑名单 拦截器实现IP黑名单 前言 最近一直在搞 Hexo+GithubPage 搭建个人博客,所以没怎么进行 SpringBoot 的学习。所以今天就将上次的”?秒防刷新”进行了一番修改。上次是采用注解加拦截器(@Aspect)来实现功能的。但是,如果需求是一个全局的拦截器对于大部分URL都进行拦截的话,自己一个个加显然是不可能的...
《框架升级问题记录-springBootspringBoot2.6.7-ip获取-兼容问题》
qq_15458763的博客
06-08 443
ip获取-兼容问题
Chrome插件:X-Forwarded-For Header
12-15
通常情况下,当一个请求经过多个代理服务器时,`X-Forwarded-For`头会被逐次添加,列出请求所经过的所有IP地址。因此,该插件可以帮助用户确保在复杂的网络环境中正确地追踪客户端来源。 **Chrome扩展程序和Chrome...
forwarded:解析HTTP X-Forwarded-For标头
05-11
请求中解析X-Forwarded-For标头。 以相反的顺序返回地址数组,包括req的套接字地址(即索引0是套接字地址,最后一个索引是最远的地址,通常是最终用户)。 测验 $ npm test 执照 麻省理工学院
X-Forwarded-For Header_0.6.2_0.zip
08-24
此扩展允许您快速更新各种 X-Forwarded-For、X-Originating-IP、X-Remote-IP 和 X-Remote-Addr HTTP 标头 打开Chrome浏览器的扩展程序: 地址栏直接输入:chrome://extensions/ 把下载到的文件解压后,点击加载已...
Golang中间件,用于处理X-Forwarded-For标头-Golang开发
05-26
Go软件包的X-Forwarded-For中间件xff是net / http中间件/处理程序,用于解析Golang中的Forwarded HTTP Extension。 用法示例安装xff:转到get github.com/sebest/xff编辑server.go:打包主X-Forwarded-For中间件转到...
我们公司使用了6年的Spring Boot项目部署方案,打包 + 一键部署,稳的一批
BASK2312的博客
11-14 491
时间就如白驹过隙,转眼间已经是 2028 年了。小二入职一家初创公司已经 6 年了,眼瞅着开发团队从 3 个人壮大到 54 人,心里有时候会感觉挺不可思议的。这些年,身边的同事来了又去,有些刚熟悉没多久,就因为看不到公司前景迅速撤退了,像他这样坚持下来的老员工,寥寥无几,大概也就四根手指头吧,如果不包括老板的话。小二之所以没走,并不是因为他目光长远,看清楚了公司的发展前景,而是他自己不知道去哪里更好,只是没想到,公司在当地发展的还挺有模有样。这是六年前他写下的一篇关于。
Spring Boot获取客户端的IP地址
不愧是暮言的博客
05-27 1万+
在Web应用程序中,获取客户端的IP地址是一项非常常见的需求,例如记录访问日志、过滤恶意IP等。在本文中,我们将介绍如何使用Spring Boot框架获取客户端的IP地址。1.使用HttpServletRequest对象2.使用ServletRequestAttributes对象3.使用X-Forwarded-For头当我们需要获取客户端的真实IP地址时,应该使用X-Forwarded-For头解决代理服务器和匿名代理服务器的问题。
java中通过request.getHeader(“x-forwarded-for“) = null问题
weixin_43811057的博客
12-07 2606
最近项目种通过request.getHeader(“x-forwarded-for”)在内网环境下一直为null,外网环境能够正常输出ip链。 通过一顿排除最终解决了。项目使用的环境为nginx +Tomcat。出现这个问题就是怪tomcat。 详细解释参考如下博文: Tomcat——获取用户真实IP request.getHeader(“x-forwarded-for”) = null ? tomcat记录X-Forwarded-For字段中的远程IP解决方案: 在tomcat/conf/目录下找到se
x-forward-for获取客户端真实ip
热门推荐
na_tion的专栏
06-22 3万+
文章来源:http://www.360doc.com/myfollow.aspx 先来看一下X-Forwarded-For的定义: X-Forwarded-For:简称XFF头,它代表客户端,也就是HTTP的请求真实IP,只有在通过了HTTP 代理或者负载均衡服务器时才会添加该项。它不是RFC中定义的标准请求头信息,在squid缓存代理服务器开发文档中可以找到该项的
获取客户端真实IP地址的HTTP请求
weixin_55829616的博客
06-02 2353
常见的请求头包括X-Forwarded-For、Proxy-Client-IP、X-Forwarded-For、WL-Proxy-Client-IP、X-Real-IP和RemoteAddr等。WL-Proxy-Client-IP:WebLogic Server使用的代理服务器将客户端的IP地址放在WL-Proxy-Client-IP请求头中。Proxy-Client-IP:一些代理服务器会将客户端的IP地址放在Proxy-Client-IP请求头中。例如:X-Real-IP: 192.168.1.1。
如何通过检查请求报文中的X-Forwarded-For头字段来获取用户的真实IP地址
06-09
X-Forwarded-For是一个HTTP请求头,用于标识客户端的真实IP地址。当客户端通过代理或负载均衡器等中间节点访问服务器时,这些节点会将客户端的IP地址添加到X-Forwarded-For头字段中,然后再将请求发送到服务器。因此,服务器可以通过检查X-Forwarded-For头字段获取客户端的真实IP地址。 下面是一个使用Java代码获取X-Forwarded-For头字段中的真实IP地址的示例: ``` String ip = request.getHeader("X-Forwarded-For"); if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) { ip = request.getHeader("Proxy-Client-IP"); } if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) { ip = request.getHeader("WL-Proxy-Client-IP"); } if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) { ip = request.getRemoteAddr(); } ``` 其中,request是HttpServletRequest对象,可以通过该对象获取HTTP请求头。 上述代码首先尝试获取X-Forwarded-For头字段中的IP地址,如果该字段不存在或值为unknown,则尝试获取Proxy-Client-IP、WL-Proxy-Client-IP等头字段中的IP地址,最后再获取客户端的真实IP地址。如果以上所有方法都无法获取IP地址,则返回null。 需要注意的是,由于X-Forwarded-For头字段是由中间节点添加的,因此可能会被恶意伪造,导致获取到的IP地址不准确。因此,在使用X-Forwarded-For头字段获取IP地址时,需要进行校验和过滤,以确保获取到的是有效的IP地址。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

外柏叁布道者

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值