负载均衡:x-forward-for获取客户端真实ip

最新推荐文章于 2024-05-08 15:12:00 发布
最新推荐文章于 2024-05-08 15:12:00 发布
阅读量1.9k 收藏 1
点赞数
文章标签: 运维 java 前端 ViewUI
原文链接:http://www.cnblogs.com/luoahong/articles/8503829.html
版权
本文详细介绍了X-Forwarded-For头信息的定义和用途,特别是在负载均衡和代理服务器中的作用。当请求经过多个代理或CDN时,X-Forwarded-For头用于记录客户端IP。讨论了不同代理情况下的X-Forwarded-For值,并提供了HTTP代理的相关知识,包括透明代理、匿名代理和高匿名代理的区别。
摘要由CSDN通过智能技术生成

先来看一下X-Forwarded-For的定义:

X-Forwarded-For:简称XFF头,它代表客户端,也就是HTTP的请求端真实的IP,只有在通过了HTTP 代理或者负载均衡服务器时才会添加该项。它不是RFC中定义的标准请求头信息,在squid缓存代理服务器开发文档中可以找到该项的详细介绍。
标准格式如下:

X-Forwarded-For: client1, proxy1, proxy2

从标准格式可以看出,X-Forwarded-For头信息可以有多个,中间用逗号分隔,第一项为真实的客户端ip,剩下的就是曾经经过的代理或负载均衡的ip地址,经过几个就会出现几个。

按照上图的Web架构图,可以很容易的看出,当用户请求经过CDN后到达Nginx负载均衡服务器时,其X-Forwarded-For头信息应该为 客户端IP,CDN的IP 但实际情况并非如此,一般情况下CDN服务商为了自身安全考虑会将这个信息做些改动,只保留客户端IP。我们可以通过php程序获得X-Forwarded-For信息或者通过Nginx的add header方法来设置返回头来查看。

下面来分析请求头到达Nginx负载均衡服务器的情况;

最低0.47元/天 解锁文章
weixin_30667649
关注
微服务通过X-Forwarded-For获取客户端最原始的IP地址
iOS逆向与安全
08-03 302
X-Forwarded-For是用于记录代理信息的,每经过一级代理,该字段就会记录来源地址,经过多级代理,服务端就会记录每级代理的X-Forwarded-For信息,IP之间以“,”分隔开。MDC是一个线程安全的存放诊断日志的容器,MDC的底层是用了ThreadLocal来保存数据的,我们可以用它传递参数。请求头字段X-Real-IP,记录真实发出请求的客户端IP获取X-Forwarded-For中的第一个IP,就是用户的真实IP。方法用于从当前线程的上下文中获取特定的键值。
从Header中X-Forwarded-For获取IP一定是真实IP吗?
java的平凡之路
05-31 8217
前言 在实际项目中,用户ip获取很重要。通过报障用户的ip来快速定位用户的请求日志,还可以通过ip访问频率来进行防盗链处理。在有些项目中,比如之前我们说过的升级,通过用户ip尾号进行一部分用户的灰度升级,还比如通过ip来区分用户的地域,进行个性化的推荐等。一般获取ip的方式。都是通过Header中的X-Forward-For、X-Real-IP或Remote addr等属性获取,但是如果确保获...
x-forward-for获取客户端真实ip
热门推荐
na_tion的专栏
06-22 3万+
文章来源:http://www.360doc.com/myfollow.aspx 先来看一下X-Forwarded-For的定义: X-Forwarded-For:简称XFF头,它代表客户端,也就是HTTP的请求端真实IP,只有在通过了HTTP 代理或者负载均衡服务器时才会添加该项。它不是RFC中定义的标准请求头信息,在squid缓存代理服务器开发文档中可以找到该项的
X-Forwarded-For 获得用户的真实ip
RAVEEE的博客
07-23 5263
什么是X-Forwarded-For? X-Forwarded-For:简称XFF头,它代表客户端,也就是HTTP的请求端真实IP,只有在通过了HTTP 代理或者负载均衡服务器时才会添加该项。它不是RFC中定义的标准请求头信息,在squid缓存代理服务器开发文档中可以找到该项的详细介绍。标准格式如下:X-Forwarded-For: client1, proxy1, proxy2。 如何通过...
4-Web安全——通过x-forward-for获取真实ip(入侵溯源)
网络安全
03-28 6243
参考资料:44-http协议 x-forward-for是http请求的一个字段,该字段表示客户端IP地址,一般称为“XXF”头,服务端通过这个头可以知道客户端真实或代理IP。x-forward-for字段虽然没有写入RFC标准,但已经应用到http协议中成为一个实施标准了。 x-forward-for字段的格式为: x-forward-for:client1,proxy1,proxy2,proxy3 该字段的ip地址值以逗分隔,其中client1代表真实客户端ip地址,...
X-Forwarded-For的一些理解
weixin_34239169的博客
02-06 838
X-Forwarded-For 是一个 HTTP 扩展头部,主要是为了让 Web 服务器获取访问用户的真实 IP 地址(其实这个真实未必是真实的,后面会说到)。 那为什么 Web 服务器只有通过 X-Forwarded-For 头才能获取真实IP?这里用 PHP 语言来说明,不明白原理的开发者为了获取客户 IP,会使用 $_SERVER['REMOTE_ADDR'] 变量,这个服务器变量表示和...
Tomcat 获取客户端真实IP X-Forwarded-For
weixin_44021888的博客
04-10 1045
Tomcat 获取客户端真实IP X-Forwarded-For
python伪造请求头x-forwarded-for的作用_利用X-Forwarded-For伪造客户端IP漏洞成因及防范...
weixin_39984403的博客
12-22 864
问题背景在Web应用开发中,经常会需要获取客户端IP地址。一个典型的例子就是投票系统,为了防止刷票,需要限制每个IP地址只能投票一次。如何获取客户端IPJava中,获取客户端IP最直接的方式就是使用request.getRemoteAddr()。这种方式能获取到连接服务器的客户端IP,在中间没有代理的情况下,的确是最简单有效的方式。但是目前互联网Web应用很少会将应用服务器直接对外提供服务,一般...
PHP获取客户端真实IP地址的5种情况分析和实现代码
10-25
另外,获取客户端IP地址的方法并不总是可靠的,因为`HTTP_X_FORWARDED_FOR`可以被轻易伪造,而`REMOTE_ADDR`也有可能被修改。因此,在安全敏感的应用场景下,应结合其他安全措施来验证用户身份。
nginx-通过X-Forwarded-For获取客户端真实IP
qq522044637的博客
10-09 6825
通过X-Forwarded-For获取客户端真实IP
关于X-Forwarded-For被伪造情况下获取真实ip的处理
猪肉炖白菜
09-03 3325
背景 在风控场景下,有很多基于客户端ip的风控规则。通常通过http协议头中的X-Forwarded-For来获取ip,但该字段很容易被伪造,这种情况下该如何处理? 概念 X-Forwarded-ForX-Forwarded-For 是一个扩展头。HTTP/1.1(RFC 2616)协议并没有对它的定义,它最开始是由 Squid 这个缓存代理软件引入,用来表示 HTTP 请求端真实 IP,现在已经成为事实上的标准,被各大 HTTP 代理、负载均衡等转发服务广泛使用,并被写入 RFC 7239(For.
通过X-Forwarded-Fox获取客户端真实IP
漠然V587的博客
06-25 1247
为Web业务部署DDoS防护后,您可以参照本文介绍的方法,获取客户端真实IP。 四层接入(非网站防护) 按照以下不同的部署配置场景,选择适合您的源站获取客户端IP方式。 高防 > 阿里云ECS通过TCP端口转发流量的情况,您无需做任何改动。源站服务器上看到的客户端IP就是真实客户端IP。同时,...
论X-Forwarded-For伪装代理请求与获取真实ip(springboot项目)
外柏叁布道者
03-26 5303
以下项目均是基于springboot2.x构建 1、使用X-Forwarded-For 伪装代理 之前做了一个项目,关于xxx抢购,当时是用spring boot做的,主要功能就是实现模拟真实用户登录、抢购等一整套自动化流程。 刚开始可以多任务执行,后面可能是被发现了,导致从服务器发出的抢购请求被限制(因为同一个出口ip),后来为了解决这个问题,找到了X-Forwarded-For 这个...
你确信 X-Forwarded-For 拿到的就是用户真实 IP 吗?
gman344的博客
07-18 1029
X-Forwarded-For 拿到的就是真实 IP 吗? 1.故事 在这个小节开始前,我先讲一个开发中的小故事,可以加深一下大家对这个字段的理解。 前段时间要做一个和风控相关的需求,需要拿到用户的 IP,开发后灰度了一小部分用户,测试发现后台日志里灰度的用户 IP 全是异常的,哪有这么巧的事情。随后测试发过来几个异常 IP: 10.148.2.12210.135.2.3810.149.12.33... 一看 IP 特征我就明白了,这几个 IP 都是 10 开头的,属于 A 类 IP 的私有 IP 范围(.
负载或反向代理服务器如何配置XFF获取终端真实IP
最新发布
program哲学
05-08 2904
介绍如何在反向代理或负载中配置XFF,方便后端服务获取请求来源的真实IP
aws ec2中loadbalancer与x-forwarded-headers的关系
蛐蛐的博客
11-03 234
文档:HTTP headers and Application Load Balancers - Elastic Load Balancing 1.简介 HTTP 请求和 HTTP 响应使用标头字段来发送有关 HTTP 消息的信息。HTTP 标头是自动添加的。 一些非标准的 HTTP 标头有一个X-Forwarded前缀。 Application Load Balancer 支持以下 X-Forwarded标头。 2.X-Forwarded-For 当使用 HTTP 或 HTTP
javaweb项目通过F5负载,获取客户端真实ip
HY0101的博客
04-15 4145
场景:        在演练环境中,通过F5做负载均衡前端项目获取的却是F5机器的ip。 日志截图: 分析:        从上图可以看到,X-Forwarded-For是null,其他的也都是null,只有通过getRemoteAddr()可以获取ip,但不是我们想要的; 那么问题就来了,X-Forwarded-For为什么是null? 解决:        经与负责F5的技术人
HTTP 请求头中的 X-Forwarded-For,X-Real-IP(nginx)
xqhys的博客
08-17 3万+
转发:https://www.cnblogs.com/diaosir/p/6890825.html 在使用nginx做反向代理时,我们为了记录整个的代理过程,我们往往会在配置文件中做如下配置: location / {        省略...         proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;       ...
x-forward-for
06-08
x-forward-for是一个HTTP头,它通常被用于...在一些情况下,客户端IP地址可能会被代理服务器改变,而x-forward-for头可以帮助我们获取客户端真实IP地址。这个头通常被用于Web服务器的安全审计、访问控制等方面。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值