request.getHeader(“X-Forwarded-For“)& request.getRemoteAddr()

原创 已于 2025-03-05 20:56:56 修改 · 941 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #网络

于 2025-03-05 16:37:22 首次发布

在Web开发中,request.getHeader("X-Forwarded-For") 和 request.getRemoteAddr() 是用于获取客户端IP地址的两种不同方法,但它们有不同的应用场景和限制。

  1. request.getHeader("X-Forwarded-For"):
    • 作用:获取HTTP请求头中的X-Forwarded-For字段的值。
    • 适用场景:当请求经过一个或多个代理服务器(如负载均衡器、反向代理服务器等)转发到最终的目标服务器时,目标服务器无法直接获取到客户端的真实IP地址。此时,如果代理服务器支持并正确配置了X-Forwarded-For头,那么该头将包含客户端的原始IP地址(可能是第一个IP地址,如果存在多个代理的话)。
    • 限制X-Forwarded-For头是一个非标准的HTTP头,不是所有的代理服务器都会添加这个头。此外,由于这个头可以被客户端或代理服务器伪造,因此它提供的IP地址信息不一定总是真实的。
  2. request.getRemoteAddr():
    • 作用:获取直接与目标服务器建立连接的客户端的IP地址。
    • 适用场景:当请求没有经过代理服务器转发,或者即使经过了代理,但目标服务器无法或不需要依赖X-Forwarded-For头来获取客户端的真实IP地址时,可以使用这个方法。
    • 限制:如果请求经过了代理服务器转发,那么request.getRemoteAddr()返回的是代理服务器的IP地址,而不是客户端的真实IP地址。

在实际应用中,开发者需要根据具体的应用场景和代理服务器的配置来选择合适的方法来获取客户端的IP地址。如果应用部署在代理服务器之后,并且需要获取客户端的真实IP地址,那么通常需要配置代理服务器以正确添加X-Forwarded-For头,并在应用中解析这个头来获取客户端的真实IP地址。同时,也需要注意这个头可能被伪造的风险,并结合其他安全措施来判断请求的真实来源。

另外,一些Web服务器和框架(如Tomcat、Spring等)提供了配置选项来自动解析X-Forwarded-For头,并将客户端的真实IP地址设置为请求对象的某个属性(如request.getRemoteAddr()返回的值),从而简化了开发者的工作。但是,这仍然依赖于代理服务器的正确配置和X-Forwarded-For头的真实性。

import javax.servlet.http.HttpServletRequest;
import java.util.Arrays;
import java.util.Optional;

public class IpUtils {

    public static String getClientIp(HttpServletRequest request) {
        // 1. 尝试从 X-Forwarded-For 获取,并处理多个 IP 的情况
        String ip = parseXForwardedFor(request.getHeader("X-Forwarded-For"));
        if (isValidIp(ip)) {
            return ip;
        }

        // 2. 检查其他代理服务器可能设置的头部
        ip = checkCommonHeaders(request);
        if (isValidIp(ip)) {
            return ip;
        }

        // 3. 回退到默认方法
        ip = request.getRemoteAddr();
        return ip;
    }

    private static String parseXForwardedFor(String header) {
        if (header == null || header.isEmpty()) {
            return null;
        }
        // 按逗号分割,取第一个有效公网 IP
        return Arrays.stream(header.split(","))
                .map(String::trim)
                .filter(IpUtils::isValidPublicIp)
                .findFirst()
                .orElse(null);
    }

    private static String checkCommonHeaders(HttpServletRequest request) {
        // 检查常见代理头部
        String[] headersToCheck = {
            "Proxy-Client-IP",
            "WL-Proxy-Client-IP",
            "HTTP_CLIENT_IP",
            "HTTP_X_FORWARDED_FOR"
        };
        return Arrays.stream(headersToCheck)
                .map(request::getHeader)
                .filter(ip -> ip != null && !ip.isEmpty())
                .map(String::trim)
                .filter(IpUtils::isValidPublicIp)
                .findFirst()
                .orElse(null);
    }

    private static boolean isValidIp(String ip) {
        return ip != null && !ip.isEmpty() && !"unknown".equalsIgnoreCase(ip);
    }

    private static boolean isValidPublicIp(String ip) {
        if (!isValidIp(ip)) return false;
        // 过滤 IPv4 私有地址和本地地址
        return !ip.startsWith("10.") &&
               !ip.startsWith("192.168.") &&
               !ip.startsWith("172.16.") &&
               !ip.startsWith("169.254.") &&
               !ip.equals("127.0.0.1") &&
               !ip.equals("0:0:0:0:0:0:0:1");
    }
}

网络安全】X-Forwarded-For漏洞成因及防范
等风来
11-08 4193
最终,当请求到达Web应用服务器时,可以通过读取X-Forwarded-For头,取出最左边的IP地址来获取客户端的真实IP。由于X-Forwarded-For头是可以被客户端伪造的,攻击者可以在发送请求时,手动添加伪造的X-Forwarded-For头。由于每层代理服务器在转发请求时只是简单地追加IP地址,而不是覆盖该头,因此最终到达应用服务器时,获取到的X-Forwarded-For头的最左边第一个IP很可能并不是客户端的真实IP,而是伪造的IP地址。即使存在伪造 IP,这种方法也能识别出真实 IP。
HTTP请求X-Forwarded-For注入
墨痕诉清风的博客
02-14 619
但是你将不会收到对方的响应,因为在正常的TCP/IP通信中,伪造数据包来源 IP会让发送出去的数据包返回到伪造的IP上,无法实现正常的通信。当你对用户网站进行的爆破或者sql注入的时候,为了防止你影响服务器的正常工作,会限制你访问,当你再次访问时,会提示你的由于你的访问频过快或者您的请求有攻击行为,限制访问几个小时内不能登陆,并且重定向到一个错误友好提示页面。通过sqlmap抛出的信息,可以看到存在sql注入的点是X-Forwarded-For字段,并且爆出了mysql的版本信息和脚本语言的信息。
request.getHeader("referer")防盗链
05-07
HTTP headers是HTTP请求和相应的核心模块,它承载了关于客户端浏览器、请求页面、服务器等相关信息。Referer是HTTP头中的一个属性,告诉服务器我是从哪个页面链接过来的。
关于request.getHeader(Referer)的问题探讨
01-08
今天我来分享一下,request.getHeader(“Referer”)获取上次访问的URL链接,在什么情况下他会出现问题! 我在某些页面中,有某几个按钮,分别用来跳转到action.do?method=m 但是,我是用 warpLoaction(”url”);这个来链接过去的,结果,我在火狐浏览器中,可以正确的 获取上次访问的页面,在IE6下却获取不到。后来去网上百度了一下,看到了一哥门的评 说, request.getHeader(“Referer”)要走HTTP协议才有值,也就是说要通过 标记,才能获取到值。当然通过表单提交的也可以。而通过locatio
详解 HTTP 特殊请求头:X-Forwarded-For 与 X-Real-IP(小白友好版)
qq_39866533的博客
10-19 1258
X-Forwarded-For 是由早期 Squid 缓存代理软件提出的自定义 HTTP 头,目的是记录“客户端真实 IP + 请求经过的所有代理服务器 IP”,形成完整的请求链路,让后端服务器能追溯请求的真实来源。X-Real-IP 是另一种常用的自定义 HTTP 头,核心作用是向后端服务器传递“客户端真实 IP”,相比 XFF 的“完整链路”,它更简洁——仅记录一个 IP 地址,适合无需追溯代理链路、仅需真实 IP 的场景。两个头的本质是“反向代理传递真实 IP 的工具”
06-HTTP-Request获取请求头数据方法
记录java学习日常~
06-03 1万+
在这个示例中,我们使用request.getHeaders("Accept-Language")语句获取HTTP请求头Accept-Language的所有值,并将其存储在headerValues枚举对象中。然后,使用while循环依次遍历枚举中的每个元素,即HTTP请求头Accept-Language的值。getHeader()方法的参数为一个字符串,表示要获取的HTTP请求头的名称。方法返回一个字符串,表示该HTTP请求头的值。如果指定名称的HTTP请求头不存在,则返回null。
如何获取用户的真实IP
青春继续
09-20 8891
问题引出:  在JSP里,获取客户端的IP地址的方法是:request.getRemoteAddr(),这种方法在大部分情况下都是有效的。但是在通过了 Apache,Nagix等反向代理软件就不能获取到客户端的真实IP地址了。如果使用了反向代理软件,用 request.
Java获取IP地址:request.getRemoteAddr()警惕
重生の记忆
11-05 3045
项目中需要和第三方平台接口,加了来源IP鉴权功能,测试时发现没有问题,但是部署以后发现存在问题,一直鉴权不通过,一群人抓瞎。   我找到那块的代码,跟了一遍流程发现逻辑没有啥问题,但是最终的结果却还是鉴权不通过,实在有些诡异。其基本逻辑为先取得配置的IP列表,然后通过request.getRemoteAddr()取得客户端的IP地址,做鉴权和校验,逻辑没问题,那么肯定是request.getR...
python伪造请求头x-forwarded-for的作用_利用X-Forwarded-For伪造客户端IP漏洞成因及防范...
weixin_39984403的博客
12-22 1030
问题背景在Web应用开发中,经常会需要获取客户端IP地址。一个典型的例子就是投票系统,为了防止刷票,需要限制每个IP地址只能投票一次。如何获取客户端IP在Java中,获取客户端IP最直接的方式就是使用request.getRemoteAddr()。这种方式能获取到连接服务器的客户端IP,在中间没有代理的情况下,的确是最简单有效的方式。但是目前互联网Web应用很少会将应用服务器直接对外提供服务,一般...
X-Forwarded-For、X-Real-IP、getRemoteAddr()区别
别抢我蓝buff
02-26 929
X-Forwarded-For是用于记录代理信息的,每经过一级代理(匿...
nginx配置了location / { proxy_set_header X-Real-IP $remote_addr; }java中通过 public static String getIpAddr(HttpServletRequest request) { String ip = null; try { //ip = request.getHeader("x-forwarded-for"); ip = request.getHeader("X-Real-IP"); if (StringUtils.isEmpty(ip) || "unknown".equalsIgnoreCase(ip)) { ip = request.getHeader("Proxy-Client-IP"); } if (StringUtils.isEmpty(ip) || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) { ip = request.getHeader("WL-Proxy-Client-IP"); } if (StringUtils.isEmpty(ip) || "unknown".equalsIgnoreCase(ip)) { ip = request.getHeader("HTTP_CLIENT_IP"); } if (StringUtils.isEmpty(ip) || "unknown".equalsIgnoreCase(ip)) { ip = request.getHeader("HTTP_X_FORWARDED_FOR"); } if (StringUtils.isEmpty(ip) || "unknown".equalsIgnoreCase(ip)) { ip = request.getRemoteAddr(); } } catch (Exception e) { logger.error("IPUtils ERROR ", e); } //"***.***.***.***".length() = 15 if (!StringUtil.isNullorEmpty(ip) && ip.length() > 15) { if (ip.indexOf(',') > 0) { ip = ip.substring(0, ip.indexOf(",")); } } return "0:0:0:0:0:0:0:1".equals(ip) ? "127.0.0.1" : ip; } 获取到的却是X-Forwarded-For的值,而不是真实客户端IP
03-20
ip = request.getHeader("X-Forwarded-For"); // 备选方案 } if (ip == null || ip.isEmpty() || "unknown".equalsIgnoreCase(ip)) { ip = request.getRemoteAddr(); // 直接获取连接IP } return ip; } ``` - ...
request.getRemoteAddr()request.getRemoteHost()
热门推荐
Eleven的专栏
07-22 1万+
request.getRemoteAddr()是获得客户端的ip地址。request.getRemoteHost()是获得客户端的主机名。 关于request.getRemoteHost的性能问题     在一个业务系统中使用request.getRemoteHost(),会造成
jsp 中 request.getHeader() 相关详细
sugarqian的专栏
05-18 352
[size=medium]System.out.println("Protocol: " + request.getProtocol()); System.out.println("Scheme: " + request.getScheme()); System.out.println("Server Name: " + request.getServerName() ); //获得服务器...
request getHeader("x-forwarded-for") 获取客户端IP地址
c657826604的博客
02-16 1436
在JSP里,获取客户端的IP地址的方法是:request.getRemoteAddr(),这种方法在大部分情况下都是有效的。但是在通过了 Apache,Nagix等反向代理软件就不能获取到客户端的真实IP地址了。如果使用了反向代理软件,用 request.getRemoteAddr()方法获取的IP地址是:127.0.0.1或 192.168.1.110,而并不是客户端的真实IP。   
java获取IP地址,request.getHeader(“x-forwarded-for“)
wushijuewu
04-11 3683
当只存在一级nginx代理的时候X-Real-IP和X-Forwarded-For是一致的,而当存在多级代理的时候,X-Forwarded-For 就变成了如下形式。这并不是我们想要的。在一些特殊场景下,比如风控和支付流程,往往需要获取用户的ip信息,但是nginx反向代理在实现跨域的同时,也彻底地改变了服务端请求来源,隔离了用户和服务端的连接,如下图。发生的场景:服务器端接收客户端请求的时候,一般需要进行签名验证,客户端IP限定等情况,在进行客户端IP限定的时候,需要首先获取该真实的IP。
request.getHeader() 相关详细与x-forwarded-for
u014000832的专栏
04-20 2710
System.out.println("Protocol: " + request.getProtocol());  System.out.println("Scheme: " + request.getScheme());  System.out.println("Server Name: " + request.getServerName() ); //获得服务器的名字  System.
request.getHeader("x-forwarded-for")获取IP地址
Marcus丶的博客
08-06 2377
在JSP里,获取客户端的IP地址的方法是:request.getRemoteAddr(),这种方法在大部分情况下都是有效的。但是在通过了 Apache,Nagix等反向代理软件就不能获取到客户端的真实IP地址了。如果使用了反向代理软件,用 request.getRemoteAddr()方法获取的IP地址是:127.0.0.1或192.168.1.110,而并不是客户端的真实IP。经过代理以后...
request.getRemoteAddr()
waj89757的专栏
03-07 2198
request.getRemoteAddr():获取远程主机IP地址。 translating “request”== 要求 “get” == 获取 “Remote” == 远程(主机) “Addr” == “Address”== (IP)地址
request.getHeader("x-forwarded-for") = null ?
nlgshw的专栏
03-12 7109
request.getHeader(“x-forwarded-for”) = null ? 在使用Nginx代理网络请求时,设置proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for,但是的server端(Tomcat,Spring)收到的网络请求中却得不到这个x-forwarded-for的信息。
spring.cloud.gateway.x-forwarded.prefix-enabled: false
最新发布
11-17
`spring.cloud.gateway.x-forwarded.prefix-enabled: false` 是 Spring Cloud Gateway 中用于 **禁用 `X-Forwarded-Prefix` 请求头自动生成** 的配置项。 --- ### ✅ 配置解释 当设置为: ```yaml spring: cloud: gateway: x-forwarded: prefix-enabled: false ``` 表示:**网关在将请求转发给下游微服务时,不再添加 `X-Forwarded-Prefix` 这个 HTTP 头**。 --- ### 🔍 `X-Forwarded-Prefix` 是什么? `X-Forwarded-Prefix` 头用于告诉后端服务:“你收到的这个请求,在到达我(网关)之前,是挂在一个特定路径前缀下的”。 #### 示例场景: 假设你的路由配置如下: ```yaml spring: cloud: gateway: routes: - id: user-service uri: http://localhost:8081 predicates: - Path=/api/users/** ``` 用户访问: ``` GET /api/users/123 ``` 网关匹配 `/api/users/**` 路由,并将其转发到: ``` http://localhost:8081/users/123 (StripPrefix=0 默认不剥离) ``` 如果 `prefix-enabled: true`(默认),则会自动添加请求头: ``` X-Forwarded-Prefix: /api ``` > 注意:实际添加的是去除匹配部分后的公共前缀。比如 `/api/users/**` 匹配了 `/api` 开头的路径,那么 `/api` 就被认为是“前缀”。 这样,后端服务就知道自己是通过 `/api` 暴露出去的,即使它本身监听的是 `/`。这对于生成正确的链接(如 HATEOAS、Swagger、重定向 Location)非常重要。 --- ### ❌ 设置为 `false` 的影响 当你设置: ```yaml prefix-enabled: false ``` 则 **不会添加 `X-Forwarded-Prefix` 头**。 这意味着: - 后端服务无法感知其外部访问路径为 `/api/xxx`; - 若后端做了路径相关的逻辑(如返回 `Location: /users/123`),前端可能无法正确访问(缺少 `/api` 前缀); - 在某些 API 文档工具(如 Springdoc OpenAPI)中可能导致 UI 或接口地址显示错误。 --- ### 🧩 典型使用场景(何时设为 false) | 场景 | 是否建议关闭 | |------|--------------| | 后端服务独立部署,不需要知道前置路径 | ✅ 可关闭 | | 使用 Nginx 统一处理前缀并注入头 | ✅ 可关闭,避免重复 | | 多层网关或代理链路复杂,担心头被误写 | ✅ 可关闭以防止冲突 | | 后端依赖 `X-Forwarded-Prefix` 生成资源链接 | ❌ 不应关闭 | --- ### 💡 如何手动覆盖 `X-Forwarded-Prefix` 值? 即使启用了 `prefix-enabled: true`,你也可以强制指定值: ```yaml spring: cloud: gateway: x-forwarded: prefix-enabled: true forwarded-prefix-value: /custom/api/v1 ``` 此时无论路由如何匹配,都会发送: ``` X-Forwarded-Prefix: /custom/api/v1 ``` --- ### ✅ Java代码示例:验证请求头是否传递 你可以编写一个简单的测试来确认该头是否被发送: ```java @RestController public class TestController { @GetMapping("/info") public Map<String, String> getInfo(HttpServletRequest request) { return Map.of( "requestURI", request.getRequestURI(), "contextPath", request.getContextPath(), "forwardedPrefix", request.getHeader("X-Forwarded-Prefix"), "remoteAddr", request.getRemoteAddr() ); } } ``` 当 `prefix-enabled: false` 时,`forwardedPrefix` 返回 `null`。 --- ### ⚠️ 注意事项 1. **默认是 `true`**,Spring Cloud Gateway 自 2.2+ 版本起默认启用所有 `X-Forwarded-*`。 2. 如果你在使用 `StripPrefix=1`,注意前缀仍然基于原始路径计算。 3. 禁用后,若需支持外部路径感知,应在反向代理层(如 Nginx)显式添加此头。 ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值