HTTP协议—x-forwarded-for&x-real-ip

最新推荐文章于 2024-05-12 00:45:42 发布
最新推荐文章于 2024-05-12 00:45:42 发布
阅读量4.3k 收藏 3
点赞数 2
分类专栏: Web安全-HTTP协议 文章标签: http tcp/ip 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44431280/article/details/122521820
版权

HTTP协议—x-forwarded-for&x-real-ip字段

提要:Web安全中,通常会需要查看HTTP数据包判断客户端攻击IP,如果客户端进行了代理设置,HTTP协议中查看到的源IP地址将会是代理的地址,不是真实的客户端地址,此时便可以通过HTTP协议中的x-forwarded-for字段和x-real-ip来进行判断。
x-forwarded-for:主要用于记录代理IP,记录从客户端地址到最后一个代理服务器的所有地址
x-real-ip:仅记录真实客户端IP地址
举例:客户端0.0.0.0访问服务端4.4.4.4
在这里插入图片描述
HTTP报文中的记录为下:
x-forwarded-for:0.0.0.0,1.1.1.1,2.2.2.2,3.3.3.3(记录整个通信过程中代理IP地址信息)
x-real-ip:0.0.0.0(仅记录真实客户端IP地址信息)

参考学习链接

the zl
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
HTTP 请求头中的 Remote_Addr,X-Forwarded-For,X-Real-IP | Spring Cloud 13
gmHappy
03-08 1万+
X-Real-IP是一个自定义`Header`。`X-Real-Ip` 通常被 `HTTP` 代理用来表示与它产生 `TCP` 连接的设备 `IP`,这个设备可能是其他代理,也可能是真正的请求端。需要注意的是,`X-Real-Ip` 目前并不属于任何标准,代理和 `Web` 应用之间可以约定用任何自定义头来传递这个信息。 X-Forwarded-For(`XFF`)是用来**识别**通过**HTTP代理**或**负载均衡**方式连接到`Web`服务器的客户端**最原始的`IP`地址的`HTTP`请求字段。
特殊的Header头——X-Forwarded-For 与 X-Real-IP 学习
相守之路
07-05 1万+
特殊的Header头X-Forwarded-ForX-Real-IP其他 header 头End-to-end 和 Hop-by-hopEnd-to-end 端到端头部Hop-by-hop 逐跳首部 X-Forwarded-For 存储客户端 ip 和反向 dai li IP 列表,以逗号+空格分隔 记录最后直连实际服务器之前的整个 dai li 过程 可能会被伪造 ip,但是直连实际服务器这段不会被伪造 图示: 可以看到,可以看到,第一层 dai li ,其存储了客户端的 IP,第二层 dai li
Nginx【多级代理透传真是IP
L596462013的博客
06-19 2321
【代码】Nginx【多级代理透传真是IP
2024年网络安全最全深入waf绕过 (云盾,宝塔,安全狗)(19(4),2024年最新搞懂开源框架设计思想真的这么重要吗
最新发布
2401_84264096的博客
05-12 893
本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!
获取真实的Ip地址
米诺有糖吃
09-06 1899
X-Forwarded-For、Proxy-Client-IP、WL-Proxy-Client-IPHTTP_CLIENT_IPHTTP_X_FORWARDED_FOR这几个参数获取到的IP地址都有可能是真实的IP地址,但是它们的可信度和准确性是不同的。如果要获取最接近真实的客户端IP地址,建议优先使用X-Forwarded-For、Proxy-Client-IPHTTP_CLIENT_IPHTTP_X_FORWARDED_FOR这几个参数。
获取用户真实 ip
qq_40813329的博客
08-11 2896
因为是代理服务器去访问index.jsp的,所以index.jsp中通过request.getRemoteAddr()的方法。时,其实并不是我们浏览器真正访问到了服务器上的index.jsp文件,而是。, 除非代理将你的IP附在请求header中一起转交给web服务器。HTTP 请求到达服务器之前,经过了三个代理。(Nginx,Apache等)就会。,这适合于整个可控,信任的网络中。,写入这个header的值,然后。(申明一条访问通道)中,有一个“经过代理以后,由于在。转发请求的HTTP头。......
nginx中Host、X-Real-IP、X-Forwarded-For的作用
qq_37705525的博客
05-23 1364
nginx中Host、X-Real-IP、X-Forwarded-For的作用
nginx反向代理之后服务端HTTP_X_FORWARDED_FOR和HTTP_X_REAL_IP获取不到客户端ip地址
myeye520的博客
04-21 1885
进过nginx的反向代理之后,我们在服务端获取$_SERVER['HTTP_X_FORWARDED_FOR']或者$_SERVER['HTTP_X_REAL_IP']时,往往获取不到客户端的外网ip地址,此时需要在做反向代理时设置: location / { proxy_pass http://172.18.184.145:10383; proxy_set_header H...
ngx-http-proxy-connect-module-master
01-18
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; # 配置 ngx_http_proxy_connect_module location / { if ($request_method = CONNECT) { proxy_pass http://$host:$proxy_port; break; } }...
工具类-获取访问ip地址工具类,自用留存
07-06
通常,`X-Forwarded-For`头字段包含了经过代理服务器转发的原始IP,而`Remote-Addr`头则直接表示客户端的IP。在工具类中,可能需要解析这些头信息来获取最真实的客户端IP。 3. **网络环境的多样性**:由于网络架构...
aedes-protocol-decoder:Aedes MQTT Broker的协议解码器
05-28
该函数提取套接字详细信息,如果aedes-server-factory trustProxy选项设置为true,它将首先解析HTTP标头(x-real-ip | x-forwarded-for)和/或代理协议(v1和v2),然后将信息传递给aedes , aedes将它们分配给...
JAVA如何获取客户端IP地址和MAC地址
08-29
其中,X-Forwarded-For头包含了客户端的IP地址,以及代理服务器的IP地址,而X-Real-IP头则直接包含了客户端的IP地址。 下面是一个获取客户端IP地址的示例代码: ```java public String getIp(HttpServletRequest ...
Python使用django获取用户IP地址的方法
09-22
real_ip = request.META['HTTP_X_FORWARDED_FOR'] # HTTP_X_FORWARDED_FOR可能会包含多个IP,取第一个 regip = real_ip.split(",")[0] except KeyError: # 如果没有HTTP_X_FORWARDED_FOR,尝试从REMOTE_ADDR头...
HTTP 请求头中的 X-Forwarded-For,X-Real-IP
z69183787的专栏
04-12 3451
https://www.cnblogs.com/diaosir/p/6890825.html X-Forwarded-For 在使用nginx做反向代理时,我们为了记录整个的代理过程,我们往往会在配置文件中做如下配置: location / { 省略... proxy_set_header X-Forwarded-For $proxy_add_x_for...
php httpxrealip,php获取客户端真实ip地址的三种方法
weixin_29446109的博客
03-19 929
php获取用户(客户端)真实IP地址的两种方法一种方法,还算靠谱,本人以前一直用的是这个方法:查看代码打印01function get_real_ip(){02$ip=false;03if(!empty($_SERVER['HTTP_CLIENT_IP'])){04$ip=$_SERVER['HTTP_CLIENT_IP'];05}06if(!empty($_SERVER['HTTP_X_FORW...
Ngnix笔记proxy_set_header设置X-Real-IP(Java获取客户端IP地址)
IT1995的博客
08-11 4731
这里是如果没设置这个头,在Nignx反向代理后,Java web那边获取的地址,基本上是Nginx那个应用所处的IP地址! proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; 通过这种这种方式,将客户端源ID地址设置到X-Real-IP中。 完整设置如下: ...
java http获取真实ip 防止伪造ip
清凉zxcv的博客
07-11 4982
先说下各个常用请求头. X-Real-IP 是Nginx的反向代理标志(只包含真实ip) x-forwarded-for 是Nginx的反向代理标志(包含真实ip和反向代理服务器地址,以“,”隔开,第一个为用户真实ip,后面的是各个层代理服务器ip) Proxy-Client-IP 是Apache的反向代理标志 WL-Proxy-Client-IP 是WebLogic的反向代理标志 下...
反向代理与 Real-IP 和 X-Forwarded-For
博文视点(北京)官方博客
01-06 1114
开篇语:开涛新作《亿级流量网站架构核心技术》出版计划公布以来,博文视点遭受到一波又一波读者询问面世时间的DDos攻击。面对亿级流量的热情,感激之余,我们也很庆幸——这部作品质量的确过硬,不会辜负拥趸厚望,更有开涛的高度负责和体贴周到加持,让她绝对物超所值、长久流芳。下面,看一篇来自这位技术暖男的售前支持。 ——本书策划编辑 侠少   本文作者张开涛。为保障《亿级流量网站架构核心技术》...
x-forward-for获取客户端真实ip
热门推荐
na_tion的专栏
06-22 3万+
文章来源:http://www.360doc.com/myfollow.aspx 先来看一下X-Forwarded-For的定义: X-Forwarded-For:简称XFF头,它代表客户端,也就是HTTP的请求端真实的IP,只有在通过了HTTP 代理或者负载均衡服务器时才会添加该项。它不是RFC中定义的标准请求头信息,在squid缓存代理服务器开发文档中可以找到该项的
nginx反向代理x-forwarded-for为null
03-30
出现这种情况的原因可能是因为在nginx的配置中没有正确设置proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;。这个配置项会将客户端的真实IP地址添加到请求头中的X-Forwarded-For字段中,以便被反向代理的服务器识别。 如果这个配置项已经设置了,但仍然出现X-Forwarded-For为null的情况,那可能是因为在nginx之前还有其他的代理服务器,导致X-Forwarded-For字段被覆盖或者丢失了。这时可以尝试在nginx的配置中添加proxy_set_header X-Real-IP $remote_addr;这个配置项会将客户端的真实IP地址添加到请求头中的X-Real-IP字段中,如果其他代理服务器也支持这个字段,那就可以通过X-Real-IP字段获取客户端的真实IP地址。 另外,如果你使用的是HTTPS协议,那么还需要在nginx的配置中添加proxy_set_header X-Forwarded-Proto $scheme;这个配置项会将请求的协议类型(HTTPHTTPS)添加到请求头中的X-Forwarded-Proto字段中,以便被反向代理的服务器正确地处理HTTPS请求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值