如何正确获取用户 IP (避免透明代理,避免伪造 HTTP_X_FORWARDED_FOR)

最新推荐文章于 2024-07-01 21:43:04 发布
最新推荐文章于 2024-07-01 21:43:04 发布
阅读量1k 收藏
点赞数
文章标签: python 运维
原文链接:https://my.oschina.net/u/3683692/blog/3035786
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

说明

217.33.193.179:3128 为透明代理。

11.11.11.11 为用户真实IP(打码)。

匿名代理无解,现希望在用户使用透明代理的情况下,正确获取他的真实IP。

nginx 相关设置:

uwsgi_param   Host                 $host;
uwsgi_param   X-Real-IP            $remote_addr;
uwsgi_param   X-Forwarded-For      $proxy_add_x_forwarded_for;
uwsgi_param   X-Forwarded-Proto    $http_x_forwarded_proto;

CASE 1 仅使用透明代理

curl -x 217.33.193.179:3128 http://test.com

获取的META信息:

'HTTP_X_FORWARDED_FOR': '11.11.11.11'
'REMOTE_ADDR': '217.33.193.179'

'X-Real-IP': '217.33.193.179'
'X-Forwarded-For': '11.11.11.11, 217.33.193.179'

CASE 2 使用透明代理加伪造X-Forwarded-For

curl -x 217.33.193.179:3128 -H "X-Forwarded-For:192.168.0.1, 192.168.0.2" http://test.com

获取的META:

'HTTP_X_FORWARDED_FOR': '192.168.0.1, 192.168.0.2, 11.11.11.11'
'REMOTE_ADDR': '217.33.193.179'

'X-Real-IP': '217.33.193.179'
'X-Forwarded-For': '192.168.0.1, 192.168.0.2, 11.11.11.11, 217.33.193.179'

CASE3 仅使用伪造X-Forwarded-For

curl -H "X-Forwarded-For:192.168.0.1, 192.168.0.2" http://test.com

获取的META:

'HTTP_X_FORWARDED_FOR': '192.168.0.1, 192.168.0.2'
'REMOTE_ADDR': '11.11.11.11'

'X-Real-IP': '11.11.11.11'
'X-Forwarded-For': '192.168.0.1, 192.168.0.2, 11.11.11.11'

CASE4 正常访问

curl http://test.com

获取的META:

'HTTP_X_FORWARDED_FOR': None
'REMOTE_ADDR': '11.11.11.11'

'X-Real-IP': '11.11.11.11'
'X-Forwarded-For': '11.11.11.11'

转载于:https://my.oschina.net/u/3683692/blog/3035786

weixin_33749131
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
记一次-X-Real-IP、X-Forwarded-For 防止伪造
e_shi_yi_p的博客
11-13 1781
背景:只有一层nginx,获取真实ip防止伪造 nginx 配置 server { listen 443 ssl; server_name localhost; ssl_certificate server.crt; #ssl_certificate cert.pem; ssl_certificate_key server.key; #ssl_certificate_ke
普通代理IP如何避免被X-Forward-For发现?
ffhh123321的博客
08-22 763
代理IP的一大优势是我们可以通过IP地址的切换,让我们的真实IP地址在上网的时候得到很好的隐藏,根据不同的隐匿效果,代理IP可以分为透明代理、普通代理、高匿代理这几种。 透明代理的隐私度较差,普通代理能够用一些技术手段被破除,那么,是不是用普通代理就一定会被 X-Forward-For 发现? 在解读 RFC7239 - Example Usage 时,我们了解到 X-Forward-For 会记录原始 IP,在使用多层 IP 代理的情况下记录的是上层 IP。利用这个特点,是不是可以伪造一下呢? 既然 X-
Squid 代理服务器 编译源码 伪造HTTP_X_FORWARDED_FOR 请求头
weixin_30448603的博客
04-10 259
本实验操作系统选用CentOS release 5.6 (Final) 实验目的实现Squid 代理服务器 编译源码 伪造HTTP_X_FORWARDED_FOR 请求头 .使其显示任意IP 过程如下: 1.下载对应系统的squid源码版本 Squid源码连接:http://www.squid-cache.org/Versions/ 本次实验下载:http://www.squ...
HTTP协议头中X-Forwarded-For是能做什么?
最新发布
xianweijian的博客
07-01 739
只要nginx前端(例如lvs, varnish)转发请求给nginx的时候,带了x-forwarded-for ,那么程序就一定能读到这个字段,如果nginx还设置了proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for, 那么程序能读到XFF是:ip0, ip1 (客户端Ip,lvs或者varnishIP)。如果nginx没有设置,那么nginx还是会原样把http头传给程序,也就是说程序也能读到XFF,而且XFF就是ip0 客户端IP
X-Forwarded-For客户端IP伪造及防范
热门推荐
wutongyuWxc的博客
05-25 1万+
前言:由于互联网Web应用很少会将应用服务器直接对外提供服务,一般都会有一层Nginx做代理和负载均衡,有的甚至可能有多层代理,并且客户端可以通过伪造http请求头信息x-forwarded-for来伪造IP,那么如何防止伪造IP呢?本文分别从有代理(Nginx)和没有代理两种情况分析如何获取客户端的真实IP。 1. 没有代理 单纯的web应用,没有做代理的情况下,...
python3-requests伪造x-forwarded-for以及解决
thewindkee的博客
01-11 7393
通常,我们的服务器会有一级或者多级的反向代理, 因此我们代码中拿remote_addr会取到最后一级反向代理ip。为了拿到真实ip,常常会去x-Forward-For中拿用户最后一级代理Ip。但是由于该值是header中的, 直接去取可能取到用户伪造Ip。 x-forwarded-for资料 这一HTTP头一般格式如下: X-Forwarded-For: client1, proxy1...
web站点获取用户IP的安全方法 HTTP_X_FORWARDED_FOR检验
10-27
通过上一篇,获取用户Ip地址通用方法常见安全隐患(HTTP_X_FORWARDED_FOR) ,我们已经意 识到直接从http_x_forwarded_for中读取用户IP,跟我们直接从一个get,post值中读取其实没有两样。web参数检测里面一个基本原则...
使用HTTP_X_FORWARDED_FOR获取客户端IP的严重后果
10-29
我的建议是不要再使用上面的方法去获取客户端IP.即是不要再理会代理情况.
获取用户Ip地址通用方法与常见安全隐患(HTTP_X_FORWARDED_FOR)
10-27
个来自一些项目中,获取用户Ip,进行用户操作行为的记录,是常见并且经常使用的。 一般朋友,都会看到如下通用获取IP地址方法
asp HTTP_X_FORWARDED_FOR和REMOTE_ADDR
10-30
HTTP_X_FORWARDED_FOR与REMOTE_ADDR的区别.
php获取ip的三个属性区别介绍(HTTP_X_FORWARDED_FOR,HTTP_VIA,REMOTE_ADDR)
12-18
一、没有使用代理服务器的情况: REMOTE_ADDR = 您的 IP HTTP_VIA = 没数值或不显示 HTTP_X_FORWARDED_FOR = 没数值或不显示 二、使用透明代理服务器的情况:Transparent Proxies REMOTE_ADDR = 最后一个代理服务器 ...
X-Forwarded-For Header_0.6.2_0.zip
08-24
此扩展允许您快速更新各种 X-Forwarded-For、X-Originating-IP、X-Remote-IP 和 X-Remote-Addr HTTP 标头 打开Chrome浏览器的扩展程序: 地址栏直接输入:chrome://extensions/ 把下载到的文件解压后,点击加载已...
完美兼容各大浏览器获取HTTP_REFERER方法总结
09-04
'X-FORWARDED-FOR:8.8.8.8', 'CLIENT-IP:8.8.8.8', // 构造IP 'REFERER: //www.jb51.net/' // 构造来路 )); curl_setopt($ch, CURLOPT_HEADER, 1); $out = curl_exec($ch); curl_close($ch); echo $out; ?> ``` ...
nginx经过多层代理获取真实来源ip过程详解
01-20
nginx取 $remote_addr 当做真实ip,而事实上,$http_X_Forwarded_For 才是用户真实ip,$remote_addr只是代理上一层的地址 解决方案: 在 http 模块 加 set_real_ip_from 172.17.10.125; #上一层代理IP地址 real_ip_...
IP_获取连接者IP_
10-03
这段代码首先尝试从`REMOTE_ADDR`获取IP,然后检查`HTTP_X_FORWARDED_FOR`,接着是`HTTP_CLIENT_IP`。通过`filter_var`函数,我们确保返回的IP地址是有效的,同时排除了私有IP和保留的IP范围。 这个场景中,`IP....
forwarded:解析HTTP X-Forwarded-For标头
05-11
解析HTTP X-Forwarded-For标头 安装 这是可通过使用的模块。 使用完成 : $ npm install forwarded 原料药 var forwarded = require ( 'forwarded' ) 转发(要求) var addresses = forwarded ( req ) 从请求中...
解决:伪造X-Forwarded-For
qq_28915045的博客
03-07 4300
目前很多Web 应用(例如获取用户所在地区,基于 IP 做访问频率控制,禁止某些IP访问等等),为了获取用户真正的 IP,从 HTTP 请求头中获取 IP地址。这些情况下,必须确保获取到的IP地址是真实可靠的。 经过前面的分析和测试,1.对于直接使用的 Web 应用,必须使用从TCP连接中得到的 Remote Address,才是用户真实的IP;2.对于使用 nginx 反向代理服务器的Web应用,nginx必须使用Remote Address正确配置set Headers,后端服务器则使用nginx传过来
X-Forwarded-For
yuange
04-25 7062
问题背景 在Web应用开发中,经常会需要获取客户端IP地址。一个典型的例子就是投票系统,为了防止刷票,需要限制每个IP地址只能投票一次。 如何获取客户端IP 在Java中,获取客户端IP最直接的方式就是使用request.getRemoteAddr()。这种方式能获取到连接服务器的客户端IP,在中间没有代理的情况下,的确是最简单有效的方式。但是目前互联网Web应用很少会将应用服务器直接对外提...
论X-Forwarded-For伪装代理请求与获取真实ip(springboot项目)
外柏叁布道者
03-26 5124
以下项目均是基于springboot2.x构建 1、使用X-Forwarded-For 伪装代理 之前做了一个项目,关于xxx抢购,当时是用spring boot做的,主要功能就是实现模拟真实用户登录、抢购等一整套自动化流程。 刚开始可以多任务执行,后面可能是被发现了,导致从服务器发出的抢购请求被限制(因为同一个出口ip),后来为了解决这个问题,找到了X-Forwarded-For 这个...
nginx中的$http_x_forwarded_for是否总是能获取到真实的客户端ip
06-10
但是,如果反向代理服务器没有正确的配置 X-Forwarded-For 头部信息,或者在 HTTP 请求头中没有添加客户端的真实 IP 地址,那么 `$http_x_forwarded_for` 变量就无法获取客户端的真实 IP。在这种情况下,我们可以...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值