X-Forwarded-For和X-Real-IP区分

最新推荐文章于 2022-06-28 17:29:21 发布
最新推荐文章于 2022-06-28 17:29:21 发布
阅读量3k 收藏 9
点赞数 1
分类专栏: 日常知识
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yuanfengfengyuan/article/details/106786001
版权

前言

在做检测产品的时候,碰到了X-Forwarded-For和X-Real-IP这两个HTTP头部字段,这两个一直稀里糊涂的,专门针对两个字段进行了分析和理解。

代理的区分

反向代理和正向代理

企业服务器以集群方式进行部署,并通过负载均衡方式对外提供应用服务,一般负载均衡可以是软件(nginx),也可以是硬件设备,以B/S通信数据(浏览器)为例,我们通过GET方式访问企业域名服务器,负载均衡设备就会按照当前各个子服务器运行状况进行任务分发,分给空闲的服务器,从客户端来看,请求的目的地址就是服务器设备,其实,只是负载均衡设备的对外IP,这种情况,我们就称为反向代理。

站在客户端的角度,客户端 -》负载均衡(代理)-》服务器,代理是为服务器服务的,不是为客户端服务的,对客户端来说就是,“代理”就是叛逆,同理,如果客户端-》代理(受客户端控制服务)-》web服务器 ,那么站在客户端的角度,代理是为客户我服务的,那么就是正向的。

X-Forwarded-For和X-Real-IP

相同点: 以B/S架构通信为例,这两个字段都是记录客户端IP信息。

客户端(1.2.3.4) -》GET请求-》负载均衡设备或代理(3.3.3.4)-》web服务器(192.168.1.3)

负载均衡设备或代理收到HTTP GET请求后,在请求上添加一个X-Forwarded-For或X-Real-IP字段,也可以添加两个字段,对应的信息如下:
X-Forwarded-For: 1.2.3.4
X-Real-IP: 1.2.3.4
web服务器收到HTTP请求,就知道是哪个客户端IP在请求服务,比如做日志记录的时候,就需要客户端IP;如果从wireshark原始报文来看,该条数据的通信是源地址3.3.3.4与目的地址192.168.1.3之间的通信,对已服务器来说,获取客户端的真实IP就是从X-Forwarded-For字段中来提取。

区别: X-Forworded-FOR 展示的是一条完整的通信链路表,而X-Real-ip只是展示最近的一个代理的IP。

客户端(1.2.3.4) -》GET请求-》负载均衡设备或代理(3.3.3.4)-》负载均衡设备或代理2(3.3.5.4)-》web服务器(192.168.1.3)

那么HTTP请求报文头部两个字段的展示分别为:
X-FORWORD-FOR: 1.2.3.4,3.3.3.4,3.3.5.4
X-Real-ip:3.3.5.4

攻击层面的考虑

1、SQL注入
     使用该字段并且入库的话,那么写入和查询的时候一定要进行预编译处理;
2、字段的伪造
	 x-forworded-for:伪造的IP,代理口1添加的IP,代理2添加的IP
     攻击者在提交请求的时候就自带了X-Real-ip或X-Forwarded-For这两个字段,那么最终服务器在针对该字段处理的时候,需要考虑到字段第一个值是客户自己伪造的IP,提取自己代理添加的IP1.
3、脚本类攻击(XSS)
fate9091
关注
  • 1
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
X-Forwarded-For、X-Real-IP、getRemoteAddr()区别
qq_35115257的博客
06-04 2160
X-Forwarded-For是用于记录代理信息的,每经过一级代理(匿名代理除外),代理服务器都会把这次请求的来源IP追加在X-Forwarded-For中来自4.4.4.4的一个请求,header包含这样一行X-Forwarded-For: 1.1.1.1, 2.2.2.2, 3.3.3.3代表 请求由1.1.1.1发出,经过三层代理,第一层是2.2.2.2,第二层是3.3.3.3,而本次请求的...
工具类-获取访问ip地址工具类,自用留存
07-06
通常,`X-Forwarded-For`头字段包含了经过代理服务器转发的原始IP,而`Remote-Addr`头则直接表示客户端的IP。在工具类中,可能需要解析这些头信息来获取最真实的客户端IP。 3. **网络环境的多样性**:由于网络架构...
X-Forwarded-For 和 X-Real-IP 的区别?
fei的专栏
12-01 2万+
做动静分离的时候这里有疑问所以请教度娘 网上摘得,觉得比较有用就记下了 一般来说,X-Forwarded-For是用于记录代理信息的,每经过一级代理(匿名代理除外),代理服务器都会把这次请求的来源IP追加在X-Forwarded-For中 来自4.4.4.4的一个请求,header包含这样一行 X-Forwarded-For: 1.1.1.1, 2.2.2.2, 3.3.3.3
HTTP协议—x-forwarded-for&x-real-ip
weixin_44431280的博客
01-16 4380
HTTP协议—x-forwarded-for&x-real-ip字段 提要:Web安全中,通常会需要查看HTTP数据包判断客户端攻击IP,如果客户端进行了代理设置,HTTP协议中查看到的源IP地址将会是代理的地址,不是真实的客户端地址,此时便可以通过HTTP协议中的x-forwarded-for字段和x-real-ip来进行判断。 x-forwarded-for:主要用于记录代理IP,记录从客户端地址到最后一个代理服务器的所有地址 x-real-ip:仅记录真实客户端IP地址 举例:客户端0.0.0
反向代理与 Real-IP 和 X-Forwarded-For
博文视点(北京)官方博客
01-06 1120
开篇语:开涛新作《亿级流量网站架构核心技术》出版计划公布以来,博文视点遭受到一波又一波读者询问面世时间的DDos攻击。面对亿级流量的热情,感激之余,我们也很庆幸——这部作品质量的确过硬,不会辜负拥趸厚望,更有开涛的高度负责和体贴周到加持,让她绝对物超所值、长久流芳。下面,看一篇来自这位技术暖男的售前支持。 ——本书策划编辑 侠少   本文作者张开涛。为保障《亿级流量网站架构核心技术》...
HTTP 请求头中的 X-Forwarded-For,X-Real-IP(nginx)
xqhys的博客
08-17 3万+
转发:https://www.cnblogs.com/diaosir/p/6890825.html 在使用nginx做反向代理时,我们为了记录整个的代理过程,我们往往会在配置文件中做如下配置: location / {        省略...         proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;       ...
php获取用户真实IP和防刷机制的实例代码
10-17
同时,提醒了开发者区分getenv()和$_SERVER在不同服务器上的兼容性差异,并建议根据实际情况封装获取IP地址的函数,以提高代码的通用性和可维护性。 总结来说,获取用户真实IP涉及对HTTP请求头的解析,并理解不同...
Nginx 的一些基本介绍、安装步骤和配置示例
最新发布
07-12
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; } } } ``` 以上是关于Nginx的基本介绍、安装步骤以及配置示例的详细介绍。通过理解这些基础概念和操作方法,开发者可以更好地利用Nginx的强大...
linux安装nginx和tomcat
10-25
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; } } } ``` 2. **启动Nginx服务** 启动Nginx服务并验证其运行状态。 ```bash /usr/local/nginx/sbin/nginx ``` #### 五、总结 通过以上...
nginx location中多个if里面proxy_pass的方法
01-09
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Real-IP $remote_addr; proxy_set_header Host $http_host; proxy_http_version 1.1; proxy_set_header Connection ""; ...
X-Forwarded-For和X-Real-IP简单了解
qq_44728587的博客
01-28 6778
X-Forwarded-For是用于记录代理信息的,每经过一级代理,该字段就会记录来源地址,经过多级代理,服务端就会记录多级代理的X-Forwarded-For信息。 例:从客户端发送请求发送到代理后,代理的X-Forwarded-For是客户端的ip。 把代理的请求再发送到服务端,服务端收到的X-Forwarded-For是代理的ip。 而X-Real-IP,一般只记录真实发出请求的客户端IP。 ...
X-Forwarded-For 和 X-Real-IP 的区别
热门推荐
shifch的博客
08-06 3万+
X-Forwarded-For是用于记录代理信息的,每经过一级代理(匿名代理除外),代理服务器都会把这次请求的来源IP追加在X-Forwarded-For中   X-Real-IP,一般只记录真实发出请求的客户端IP...
X-Forwarded-For和X-Real-ip的区别
weixin_30763397的博客
06-02 1050
X-Forwarded-For和X-Real-ip的区别 环境配置: 三台代理(lb01:10.0.0.7、lb02:10.0.0.8、lb03:10.0.0.9) 一台web应用服务器(web:10.0.0.5) 1.配置官方nginx源并安装(4台都操作) [root@lb01 ~]# vim /etc/yum.repos.d/nginx.repo [root@lb01 ~]# yum i...
特殊的Header头——X-Forwarded-For 与 X-Real-IP 学习
相守之路
07-05 1万+
特殊的Header头X-Forwarded-ForX-Real-IP其他 header 头End-to-end 和 Hop-by-hopEnd-to-end 端到端头部Hop-by-hop 逐跳首部 X-Forwarded-For 存储客户端 ip 和反向 dai li IP 列表,以逗号+空格分隔 记录最后直连实际服务器之前的整个 dai li 过程 可能会被伪造 ip,但是直连实际服务器这段不会被伪造 图示: 可以看到,可以看到,第一层 dai li ,其存储了客户端的 IP,第二层 dai li
X-real-ip与X-Forwarded-For
weixin_30530523的博客
08-03 314
经过反向代理后,客户端与web服务器之间添加了中间层,因此: 1.代理服务器使用$remote_addr拿到的会是客户端的ip 2. web服务器使用$remote_addr拿到的会是代理服务器的ip 3.客户端使用getRemoteAddr()拿到的会是反向代理服务器的ip 为了让服务器能得到客户端的ip,可以在nginx中做些赋值操作: 1.proxy_set_header ...
HTTP请求头中的X-Forwarded-For,X-Real-IP
weixin_40857858的博客
06-28 364
PowerDesigner16 画时序图教程
HTTP 请求头中的 X-Forwarded-For,X-Real-IP
Erica_1230的专栏
03-02 1456
在使用nginx做反向代理时,我们为了记录整个的代理过程,我们往往会在配置文件中做如下配置: location / { 省略... proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_pass http://1xx.xxx.xxx.xxx; }...
如何避免利用x-forwarded-for伪造ip
05-20
为了避免利用 X-Forwarded-For 伪造 IP,可以采取以下措施: 1. 使用反向代理服务器:反向代理服务器可以拦截 HTTP 请求,并且可以从 TCP 连接中获取客户端真实 IP 地址。使用反向代理服务器可以防止攻击者通过直接访问服务器来伪造 IP。 2. 使用防火墙:防火墙可以监控网络流量,过滤掉来源 IP 地址不合法的请求,以此来防止攻击者伪造 IP。 3. 检查 IP 地址合法性:在应用程序中,可以对 X-Forwarded-For 中的 IP 地址进行检查和过滤,只接受合法的 IP 地址。 4. 限制并发连接数:限制每个 IP 地址的并发连接数,可以防止攻击者通过伪造多个 IP 地址来进行 DoS 攻击。 需要注意的是,以上措施并不能完全杜绝利用 X-Forwarded-For 伪造 IP 的攻击,因此还需要结合其他安全措施来提高应用程序的安全性。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值