Java防伪造ip,Nginx方法

Java获取真实IP地址与防止伪造
最新推荐文章于 2025-02-28 11:20:15 发布
原创 最新推荐文章于 2025-02-28 11:20:15 发布 · 3.2k 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

该博客讨论了如何在Java中正确获取HTTP请求的真实IP地址,包括当请求经过代理如nginx时的处理方法。文章指出,通过`request.getHeader(x-forwarded-for)`可能获取到伪造的IP,并提供了配置nginx和修改代码以确保获取到真实的IP。解决方案包括使用`request.getRemoteAddr()`及检查多个HTTP头字段来确定真实IP,从而实现准确的IP限流。

问题:

正常获取IP方法,此方式通过获取请求头的方式拿到IP

ip = request.getHeader("x-forwarded-for");

于是可以模拟在请求头添加x-forwarded-for,伪造ip发送请求,

结果Java获取到的ip为仿造后的:111.111.111.111

 

解决:配置nginx即可。

 

若项目没有使用nginx或其他代理,则只需修改代码。

String ip = request.getRemoteAddr();

public static String getIP(HttpServletRequest request) {
		// 获取真实Ip。未使用代理的情况下,若使用nginx,则获取到的是nginx的ip
		String ip = request.getRemoteAddr();

		// 若使用了nginx,则需要配置
//		proxy_set_header X-Real-IP $remote_addr;
//		proxy_set_header Host $host;
//		proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

		// 获取nginx代理前的用户Ip
//		String ip = request.getHeader("X-Real-IP");
		if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
			ip = request.getHeader("Proxy-Client-IP");
		}
		if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
			ip = request.getHeader("WL-Proxy-Client-IP");
		}
		if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
			ip = request.getHeader("HTTP_CLIENT_IP");
		}
		if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
			ip = request.getHeader("HTTP_X_FORWARDED_FOR");
		}
		if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
			ip = request.getHeader("x-forwarded-for");
		}
		//对于通过多个代理的情况,第一个IP为客户端真实IP,多个IP按照','分割
		//"***.***.***.***".length() = 15
		if (ip != null && ip.length() > 15) {
			if (ip.indexOf(",") > 0) {
				ip = ip.substring(0, ip.indexOf(","));
			}
		}
		return ip;
	}

效果:经处理,获取的ip为真实的,公司的外网IP:182.***.***.***

后续可通过真实ip进行限流

 

Java零基础——Nginx
m0_47946173的博客
11-27 2053
根据前面的对比,我们可以了解到Nginx是一个http服务器。是一个使用c语言开发的高性能的http服务器及反向代理服务器。Nginx是一款高性能的http 服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器。由俄罗斯的程序设计师Igor Sysoev所开发,官方测试nginx能够支支撑5万并发链接,并且cpu、内存等资源消耗却非常低,运行非常稳定。
防止X-Forwarded-For伪造客户端IP漏洞,获取真实IP方法
lmmilove的专栏
03-16 3050
在Web应用开发中,经常会需要获取客户端IP地址。一个典型的例子就是投票系统,为了防止刷票,需要限制每个IP地址只能投票一次。 如何获取客户端IP 在PHP中,获取客户端IP最直接的方式就是使用getenv('HTTP_CLIENT_IP')。这种方式能获取到连接服务器的客户端IP,在中间没有代理的情况下,的确是最简单有效的方式。但是现在web一般都会有一层Nginx做反向代理和负载均衡,有的甚至可能有多层代理。在有反向代理的情况下,直接使用getenv('REMOTE_ADDR');获取到的IP地址是N
java 伪造http请求ip地址的方法
08-26
主要介绍了java 伪造http请求ip地址的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
java http获取真实ip 防止伪造ip
清凉zxcv的博客
07-11 5619
先说下各个常用请求头. X-Real-IPNginx的反向代理标志(只包含真实ip) x-forwarded-for 是Nginx的反向代理标志(包含真实ip和反向代理服务器地址,以“,”隔开,第一个为用户真实ip,后面的是各个层代理服务器ip) Proxy-Client-IP 是Apache的反向代理标志 WL-Proxy-Client-IP 是WebLogic的反向代理标志 下...
Nginx】proxy_set_header的变量与X-Forwarded-For伪造客户端IP漏洞
kevin的博客
07-14 3219
上面突然说,需要检查Nginx反向代理的安全问题并给出了修改方法,小白的我一脸懵逼,明明都是中文,连在一起咋就看不明白了。于是乎,对着修改内容简单学习了一下,在此做个记录,如有问题请大佬们指点指点。
java 伪造http请求ip地址
weixin_34168700的博客
09-27 5177
最近做接口开发,需要跟第三方系统对接接口,基于第三方系统接口的保密性,需要将调用方的请求IP加入到他们的白名单中。由于我们公司平常使用的公网的IP是不固定的,每次都需要将代码提交到固定的服务器上(服务器IP加入了第三方系统的白名单),频繁的修改提交合并代码和启动服务器造成了额外的工作量,给接口联调带来了很大的阻碍。 正常的http请求 我...
Java获取真实Ip地址
2401_85112237的博客
05-25 573
如果存在伪造Ip漏洞的话还需要Nginx配置一下X-Real-IP。使用x-forwarded-for的话ip容易被伪造,如果在非最外层设置,则获取到的是反向代理机器的ip。所以建议使用X-Real-IP获取真实Ip,当只有1层nginx代理情况下只需配置。当有多层反向代理时,只在最外层代理设置。使用postman也可以模拟复现,
Java Web应用中获取客户端的真实IP地址
最新发布
bitcsljl的博客
02-28 1552
Java Web应用中获取客户端的真实IP地址
Java实现IP地址获取的方法详解
以下将从Java获取IP地址的实现原理、常用方法、注意事项、适用场景等多个维度进行详细阐述。 ### 一、Java获取IP地址的常见场景 1. **服务器端获取客户端IP地址** 在Web开发中,尤其是在基于Servlet的Java Web...
java防止xff伪造ip
dinghongyu520的博客
05-17 2029
背景 现在大厂的代码都有安全测评,在渗透测试时可能用会使用改变x-forwarded-for的值伪造客服端IP,网上常见的配置nginx解决,但对于有的不使用nginx或使用其他的代理方式,我们就只能从服务端入手。 解决方案 这里可以用到的Tomcat中的RemoteIpValve,实现逻辑如下图 如上图逻辑可知只需改变internalProxies的默认值即可通过request.getRemoteAddr()获取到客服端真实IP 我这里使用的SpringBoot,在yml文件中配置...
java httpclient 伪造ip_伪造Http请求IP地址
weixin_34107049的博客
02-24 2041
package com.sh.portal.framework.client.http;import java.io.IOException;import org.apache.commons.lang.StringUtils;import org.apache.http.HttpEntity;import org.apache.http.HttpResponse;import org.apach...
Nginx 防止IP伪造,绕过IP限制
清山博客
12-03 1326
让WEB取得原始请求IP。在后端程序通过读取请求头里的X-Forwarded-For来获取用户客户端IP。在使用Nginx时,需要将IP地址转发到后置应用中,往往需要增加配置。Nginx中增加配置。
java服务器获取ip 解读请求头 伪造ip
global_coding的博客
06-06 1483
java服务器获取ip 解读请求头 伪造ip
nginx 如何配置来获取用户真实IP
热门推荐
大树叶 技术专栏
05-31 6万+
##1.背景知识 1.1. 前提知识点: 还有nginx中的几个变量: remote_addr 代表客户端的IP,但它的值不是由客户端提供的,而是服务端根据客户端的ip指定的,当你的浏览器访问某个网站时,假设中间没有任何代理,那么网站的web服务器(Nginx,Apache等)就会把remote_addr设为你的机器IP,如果你用了某个代理,那么你的浏览器会先访问这
java实现模拟不同国家ip的请求
sinat_24230393的博客
12-01 3064
import org.apache.http.HttpEntity; import org.apache.http.NameValuePair; import org.apache.http.ParseException; import org.apache.http.client.config.RequestConfig; import org.apache.http.client.entit...
Java开发最佳实践手册全网独一份,牛皮轰轰
m0_57081140的博客
06-28 281
spring+spring5最全知识梳理大纲(总) spring最全知识梳理大纲(总) spring5最全知识梳理大纲(总) spring最全知识梳理大纲(分) 为什么要使用Spring? Bean spring事务 面向切面编程(Aspect Oriented Programming) Spring面试 spring5最全知识梳理大纲(分) Spring框架介绍 IOC容器 AOP JdbcTemplate 事务管理 Spring5
评论 3
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值