request.getHeader(“X-Forwarded-For“)& request.getRemoteAddr()

已于 2025-03-05 20:56:56 修改
阅读量708 收藏 2
点赞数 8
分类专栏: 网络 文章标签: java 网络
于 2025-03-05 16:37:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/FlyingJiang/article/details/146046793
版权

在Web开发中,request.getHeader("X-Forwarded-For") 和 request.getRemoteAddr() 是用于获取客户端IP地址的两种不同方法,但它们有不同的应用场景和限制。

  1. request.getHeader("X-Forwarded-For"):
    • 作用:获取HTTP请求头中的X-Forwarded-For字段的值。
    • 适用场景:当请求经过一个或多个代理服务器(如负载均衡器、反向代理服务器等)转发到最终的目标服务器时,目标服务器无法直接获取到客户端的真实IP地址。此时,如果代理服务器支持并正确配置了X-Forwarded-For头,那么该头将包含客户端的原始IP地址(可能是第一个IP地址,如果存在多个代理的话)。
    • 限制X-Forwarded-For头是一个非标准的HTTP头,不是所有的代理服务器都会添加这个头。此外,由于这个头可以被客户端或代理服务器伪造,因此它提供的IP地址信息不一定总是真实的。
  2. request.getRemoteAddr():
    • 作用:获取直接与目标服务器建立连接的客户端的IP地址。
    • 适用场景:当请求没有经过代理服务器转发,或者即使经过了代理,但目标服务器无法或不需要依赖X-Forwarded-For头来获取客户端的真实IP地址时,可以使用这个方法。
    • 限制:如果请求经过了代理服务器转发,那么request.getRemoteAddr()返回的是代理服务器的IP地址,而不是客户端的真实IP地址。

在实际应用中,开发者需要根据具体的应用场景和代理服务器的配置来选择合适的方法来获取客户端的IP地址。如果应用部署在代理服务器之后,并且需要获取客户端的真实IP地址,那么通常需要配置代理服务器以正确添加X-Forwarded-For头,并在应用中解析这个头来获取客户端的真实IP地址。同时,也需要注意这个头可能被伪造的风险,并结合其他安全措施来判断请求的真实来源。

另外,一些Web服务器和框架(如Tomcat、Spring等)提供了配置选项来自动解析X-Forwarded-For头,并将客户端的真实IP地址设置为请求对象的某个属性(如request.getRemoteAddr()返回的值),从而简化了开发者的工作。但是,这仍然依赖于代理服务器的正确配置和X-Forwarded-For头的真实性。

import javax.servlet.http.HttpServletRequest;
import java.util.Arrays;
import java.util.Optional;

public class IpUtils {

    public static String getClientIp(HttpServletRequest request) {
        // 1. 尝试从 X-Forwarded-For 获取,并处理多个 IP 的情况
        String ip = parseXForwardedFor(request.getHeader("X-Forwarded-For"));
        if (isValidIp(ip)) {
            return ip;
        }

        // 2. 检查其他代理服务器可能设置的头部
        ip = checkCommonHeaders(request);
        if (isValidIp(ip)) {
            return ip;
        }

        // 3. 回退到默认方法
        ip = request.getRemoteAddr();
        return ip;
    }

    private static String parseXForwardedFor(String header) {
        if (header == null || header.isEmpty()) {
            return null;
        }
        // 按逗号分割,取第一个有效公网 IP
        return Arrays.stream(header.split(","))
                .map(String::trim)
                .filter(IpUtils::isValidPublicIp)
                .findFirst()
                .orElse(null);
    }

    private static String checkCommonHeaders(HttpServletRequest request) {
        // 检查常见代理头部
        String[] headersToCheck = {
            "Proxy-Client-IP",
            "WL-Proxy-Client-IP",
            "HTTP_CLIENT_IP",
            "HTTP_X_FORWARDED_FOR"
        };
        return Arrays.stream(headersToCheck)
                .map(request::getHeader)
                .filter(ip -> ip != null && !ip.isEmpty())
                .map(String::trim)
                .filter(IpUtils::isValidPublicIp)
                .findFirst()
                .orElse(null);
    }

    private static boolean isValidIp(String ip) {
        return ip != null && !ip.isEmpty() && !"unknown".equalsIgnoreCase(ip);
    }

    private static boolean isValidPublicIp(String ip) {
        if (!isValidIp(ip)) return false;
        // 过滤 IPv4 私有地址和本地地址
        return !ip.startsWith("10.") &&
               !ip.startsWith("192.168.") &&
               !ip.startsWith("172.16.") &&
               !ip.startsWith("169.254.") &&
               !ip.equals("127.0.0.1") &&
               !ip.equals("0:0:0:0:0:0:0:1");
    }
}

网络安全】X-Forwarded-For漏洞成因及防范
等风来
11-08 3871
最终,当请求到达Web应用服务器时,可以通过读取X-Forwarded-For头,取出最左边的IP地址来获取客户端的真实IP。由于X-Forwarded-For头是可以被客户端伪造的,攻击者可以在发送请求时,手动添加伪造的X-Forwarded-For头。由于每层代理服务器在转发请求时只是简单地追加IP地址,而不是覆盖该头,因此最终到达应用服务器时,获取到的X-Forwarded-For头的最左边第一个IP很可能并不是客户端的真实IP,而是伪造的IP地址。即使存在伪造 IP,这种方法也能识别出真实 IP。
如何在 Java 中获取请求的 IP 地址和域名(X-Forwarded-For
最新发布
私聊前往站内信:https://i.youkuaiyun.com/#/msg/chat/weixin_44976692
12-21 7754
通过本文的介绍,我们了解了如何在 Java 中获取客户端的 IP 地址和域名。在没有反向代理的情况下,直接从获取 IP 地址是最简单的方式。而在使用反向代理的情况下,通过解析头部可以获取到客户端的真实 IP 地址。同时,通过Host头部或请求 URL,我们也可以获取客户端的域名。在实际开发中,获取客户端的 IP 地址和域名有着广泛的应用场景,包括日志记录、安全审计、反向代理配置等。因此,掌握这些技术对于开发高质量的 Web 应用至关重要。
request getHeader("x-forwarded-for") 获取客户端IP地址
c657826604的博客
02-16 1341
在JSP里,获取客户端的IP地址的方法是:request.getRemoteAddr(),这种方法在大部分情况下都是有效的。但是在通过了 Apache,Nagix等反向代理软件就不能获取到客户端的真实IP地址了。如果使用了反向代理软件,用 request.getRemoteAddr()方法获取的IP地址是:127.0.0.1或 192.168.1.110,而并不是客户端的真实IP。   
如何获取用户的真实IP
青春继续
09-20 8852
问题引出:  在JSP里,获取客户端的IP地址的方法是:request.getRemoteAddr(),这种方法在大部分情况下都是有效的。但是在通过了 Apache,Nagix等反向代理软件就不能获取到客户端的真实IP地址了。如果使用了反向代理软件,用 request.
Java获取IP地址:request.getRemoteAddr()警惕
重生の记忆
11-05 2992
项目中需要和第三方平台接口,加了来源IP鉴权功能,测试时发现没有问题,但是部署以后发现存在问题,一直鉴权不通过,一群人抓瞎。   我找到那块的代码,跟了一遍流程发现逻辑没有啥问题,但是最终的结果却还是鉴权不通过,实在有些诡异。其基本逻辑为先取得配置的IP列表,然后通过request.getRemoteAddr()取得客户端的IP地址,做鉴权和校验,逻辑没问题,那么肯定是request.getR...
request.getRemoteAddr()request.getRemoteHost()
Eleven的专栏
07-22 1万+
request.getRemoteAddr()是获得客户端的ip地址。request.getRemoteHost()是获得客户端的主机名。 关于request.getRemoteHost的性能问题     在一个业务系统中使用request.getRemoteHost(),会造成
jsp 中 request.getHeader() 相关详细
sugarqian的专栏
05-18 334
[size=medium]System.out.println("Protocol: " + request.getProtocol()); System.out.println("Scheme: " + request.getScheme()); System.out.println("Server Name: " + request.getServerName() ); //获得服务器...
python伪造请求头x-forwarded-for的作用_利用X-Forwarded-For伪造客户端IP漏洞成因及防范...
weixin_39984403的博客
12-22 967
问题背景在Web应用开发中,经常会需要获取客户端IP地址。一个典型的例子就是投票系统,为了防止刷票,需要限制每个IP地址只能投票一次。如何获取客户端IP在Java中,获取客户端IP最直接的方式就是使用request.getRemoteAddr()。这种方式能获取到连接服务器的客户端IP,在中间没有代理的情况下,的确是最简单有效的方式。但是目前互联网Web应用很少会将应用服务器直接对外提供服务,一般...
X-Forwarded-For、X-Real-IP、getRemoteAddr()区别
别抢我蓝buff
02-26 872
X-Forwarded-For是用于记录代理信息的,每经过一级代理(匿...
java获取IP地址,request.getHeader(“x-forwarded-for“)
wushijuewu
04-11 3586
当只存在一级nginx代理的时候X-Real-IP和X-Forwarded-For是一致的,而当存在多级代理的时候,X-Forwarded-For 就变成了如下形式。这并不是我们想要的。在一些特殊场景下,比如风控和支付流程,往往需要获取用户的ip信息,但是nginx反向代理在实现跨域的同时,也彻底地改变了服务端请求来源,隔离了用户和服务端的连接,如下图。发生的场景:服务器端接收客户端请求的时候,一般需要进行签名验证,客户端IP限定等情况,在进行客户端IP限定的时候,需要首先获取该真实的IP。
request.getHeader() 相关详细与x-forwarded-for
u014000832的专栏
04-20 2675
System.out.println("Protocol: " + request.getProtocol());  System.out.println("Scheme: " + request.getScheme());  System.out.println("Server Name: " + request.getServerName() ); //获得服务器的名字  System.
request.getHeader("x-forwarded-for")获取IP地址
Marcus丶的博客
08-06 2337
在JSP里,获取客户端的IP地址的方法是:request.getRemoteAddr(),这种方法在大部分情况下都是有效的。但是在通过了 Apache,Nagix等反向代理软件就不能获取到客户端的真实IP地址了。如果使用了反向代理软件,用 request.getRemoteAddr()方法获取的IP地址是:127.0.0.1或192.168.1.110,而并不是客户端的真实IP。经过代理以后...
request.getRemoteAddr()
waj89757的专栏
03-07 2147
request.getRemoteAddr():获取远程主机IP地址。 translating “request”== 要求 “get” == 获取 “Remote” == 远程(主机) “Addr” == “Address”== (IP)地址
Java获取远程IP地址:request.getRemoteAddr()警惕
lester的专栏
11-17 1932
转载自:http://blog.csdn.net/lushuaiyin/article/details/6830698 request.getLocalAddr()//获取本机IP request.getRemoteAddr()//Java获取远程IP地址:  public static String getClientAddress(HttpServletRequest request
nginx反向代理request.getHeader("x-forwarded-for")为null,且request.getRemoteAddr()为本机地址
热门推荐
吴名氏的博客
05-08 9万+
一、产生原因: 1.使用方向代理是未设置x-forwarded-for头,或者设置x-forwarded-for头的配置语句存放错误导致request.getHeader("x-forwarded-for")为null 2.导致request.getRemoteAddr()为本机地址是因为,设置了nginx反向代理,中间加了一层访问,所以request.getRemoteAddr()为本机地址...
博客-request.getRemoteAddr();方法获取到的IP地址为IPV6地址。
Zjpexe的博客
07-12 2907
request.getRemoteAddr();方法获取到的IP地址为IPV6地址。 ​ 今天在做项目时运用到request.getRemoteAddr();方法来获取用户的IP地址,发现输出为0:0:0:0:0:0:0:1(此为IPV6的地址)。这是因为我利用的localhost:端口号的方式进入到服务器的,自己进入到自己的服务器,而我的设备是支持ipv6地址的,所以自动解析到的就是ipv6。 ​ 如果想解析到ipv4可以将进入服务器的方式从localhost:端口号换成127.0.0.1的方式(12
request.getHeaderrequest.getHeaders、request.getHeaderNames
weixin_51749376的博客
05-05 7852
request.getHeader("String name); 该方法用于获得 Http 协议定义的文件头信息,获取单个请求头name对应的value值 参数说明: name:header 的名称。 返回值:header 的取值。 request.getHeaders(String name); 该方法将返回指定名字的 request header 的所有值,其结果是一个枚举对象。 参数说明: name:文件头的header名称。 返回值:Enumeration 类的枚举对象,该对象包含指
request.getHeader("x-forwarded-for") = null ?
nlgshw的专栏
03-12 6980
request.getHeader(“x-forwarded-for”) = null ? 在使用Nginx代理网络请求时,设置proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for,但是的server端(Tomcat,Spring)收到的网络请求中却得不到这个x-forwarded-for的信息。
Java编程:获取IP地址:request.getRemoteAddr()
天将降大任于是人
06-02 1万+
在JSP里,获取客户端的IP地址的方法是:request.getRemoteAddr(),这种方法在大部分情况下都是有效的。但是在通过了Apache,Squid等反向代理软件就不能获取到客户端的真实IP地址了。如果使用了反向代理软件,将http://192.168.1.110:2046/ 的URL反向代理为http://www.xxx.com/ 的URL时,用request.getRemoteAdd
逐步解析代码:public static String getIpAddr(HttpServletRequest request) { if (request == null) { return "unknown"; } String ip = request.getHeader("x-forwarded-for"); if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) { ip = request.getHeader("Proxy-Client-IP"); } if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) { ip = request.getHeader("X-Forwarded-For"); } if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) { ip = request.getHeader("WL-Proxy-Client-IP"); } if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) { ip = request.getHeader("X-Real-IP"); } if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) { ip = request.getRemoteAddr(); } return "0:0:0:0:0:0:0:1".equals(ip) ? "127.0.0.1" : getMultistageReverseProxyIp(ip); }
04-19
这段代码是用来获取用户访问的IP地址的。首先判断请求对象是否存在,如果不存在,返回"unknown"。然后通过 request.getHeader() 方法获取各种可能的客户端IP地址,如果为空或者为"unknown",继续获取下一个可能的IP地址,直到最后一个获取不到时,返回 request.getRemoteAddr() 方法获取的IP地址。最后判断获取到的IP地址是否是"0:0:0:0:0:0:0:1",如果是,则将IP地址替换为"127.0.0.1",否则调用 getMultistageReverseProxyIp() 方法处理IP地址并返回。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值