ngxin proxy_set_header Host X-Forwarded-For

最新推荐文章于 2025-03-07 22:32:10 发布
转载 最新推荐文章于 2025-03-07 22:32:10 发布 · 1.1k 阅读 · 1

本文探讨了Nginx作为反向代理服务器时如何处理X-Forwarded-For请求头,特别是经过CDN后的真实客户端IP获取方式。文章详细分析了X-Forwarded-For的定义及Nginx配置中的proxy_set_header指令作用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

nginx为了实现反向代理的需求而增加了一个ngx_http_proxy_module模块。其中proxy_set_header指令就是该模块需要读取的配置文件。在这里,所有设置的值的含义和http请求同中的含义完全相同,除了Host外还有X-Forward-For。
        Host的含义是表明请求的主机名,因为nginx作为反向代理使用,而如果后端真是的服务器设置有类似防盗链或者根据http请求头中的host字段来进行路由或判断功能的话,如果反向代理层的nginx不重写请求头中的host字段,将会导致请求失败【默认反向代理服务器会向后端真实服务器发送请求,并且请求头中的host字段应为proxy_pass指令设置的服务器】。
 

如今利用nginx做负载均衡的实例已经很多了,针对不同的应用场合,还有很多需要注意的地方,本文要说的就是在通过CDN 后到达nginx做负载均衡时请求头中的X-Forwarded-For项到底发生了什么变化。下图为简单的web架构图:

 

先来看一下X-Forwarded-For的定义:
X-Forwarded-For:简称XFF头,它代表客户端,也就是HTTP的请求端真实的IP,只有在通过了HTTP 代理或者负载均衡服务器时才会添加该项。它不是RFC中定义的标准请求头信息,在squid缓存代理服务器开发文档中可以找到该项的详细介绍。
标准格式如下:
X-Forwarded-For: client1, proxy1, proxy2
从标准格式可以看出,X-Forwarded-For头信息可以有多个,中间用逗号分隔,第一项为真实的客户端ip,剩下的就是曾经经过的代理或负载均衡的ip地址,经过几个就会出现几个。
按照上图的Web架构图,可以很容易的看出,当用户请求经过CDN后到达Nginx负载均衡服务器时,其X-Forwarded-For头信息应该为客户端IP,CDN的IP。但实际情况并非如此,一般情况下CDN服务商为了自身安全考虑会将这个信息做些改动,只保留客户端IP。我们可以通过php程序获得X-Forwarded-For信息或者通过Nginx的add header方法来设置返回头来查看。
下面来分析请求头到达Nginx负载均衡服务器的情况;在默认情况下,Nginx并不会对X-Forwarded-For头做任何的处理,除非用户使用proxy_set_header 参数设置:
proxy_set_header        X-Forwarded-For $proxy_add_x_forwarded_for;
$proxy_add_x_forwarded_for变量包含客户端请求头中的"X-Forwarded-For",与$remote_addr用逗号分开,如果没有"X-Forwarded-For" 请求头,则$proxy_add_x_forwarded_for等于$remote_addr。
$remote_addr变量的值是客户端的IP
当Nginx设置X-Forwarded-For等于$proxy_add_x_forwarded_for后会有两种情况发生
1、如果从CDN过来的请求没有设置X-Forwarded-For头(通常这种事情不会发生),而到了我们这里Nginx设置将其设置为$proxy_add_x_forwarded_for的话,X-Forwarded-For的信息应该为CDN的IP,因为相对于Nginx负载均衡来说客户端即为CDN,这样的话,后端的web程序时死活也获得不了真实用户的IP的。
2、CDN设置了X-Forwarded-For,我们这里又设置了一次,且值为$proxy_add_x_forwarded_for的话,那么X-Forwarded-For的内容变成 ”客户端IP,Nginx负载均衡服务器IP“如果是这种情况的话,那后端的程序通过X-Forwarded-For获得客户端IP,则取逗号分隔的第一项即可
如上两点所说,如果我们知道了CDN设置了X-Forwarded-For信息,且只有客户端真实的IP的话,那么我们的Nginx负载均衡服务器可以不必理会该头,让它默认即可。
其实Nginx中还有一个$http_x_forwarded_for变量,这个变量中保存的内容就是请求中的X-Forwarded-For信息。如果后端获得X-Forwarded-For信息的程序兼容性不好的话(没有考虑到X-Forwarded-For含有多个IP的情况),最好就不要将X-Forwarded-For设置为$proxy_add_x_forwarded_for。应该设置为$http_x_forwarded_for或者干脆不设置!



                

        

    

    
  



    

      

        

            

              
                
                  架构魔方
                
              
            

            

                关注
              
            

        

        

          
      

      










                



	

		

			

				
					
nginx 开启x-forward

				
			

			

				

					zhaoyangjian724的专栏
				

				

					04-29
					
					2075
					
				

			

		

		

			
				
192.168.137.2

node1:/etc/nginx#cat /etc/nginx/nginx.conf
worker_processes  1;

#error_log  logs/error.log;
#error_log  logs/error.log  notice;
#error_log  logs/error.log  info;

events {
    worker_...

			
		

	



                

            
              



	

		

			

				
					
解决HttpServletRequest的getScheme()获取到代理服务器nginx中配置的proxy_set_header X-Forwarded-Proto $scheme参数问题

				
			

			

				

					yunele的博客
				

				

					04-25
					
					1167
					
				

			

		

		

			
				
但是在nginx的access.log中打印看到确实是输出了https, 所以原因只能是后端没有获取到这个参数,经过多方查找资料,原来是在Spring 后端中,当应用程序部署在反向代理(例如 Nginx)后面时,反向代理通常使用 HTTP 与后端服务通信,即使原始请求是通过 HTTPS 发送的。为了使后端服务能够识别并利用这个头信息,需要配置Spring服务来信任代理服务器并使用。默认获取的是当前Servlet容器接收到的请求协议,而是。,因为这是反向代理与后端服务之间实际使用的协议。

			
		

	



              


  
              

                


	

		

			

				
					
Nginx做负载均衡时X-Forwarded-For信息头的处理

				
			

			

				

					五谷杂粮
				

				

					01-04
					
					791
					
				

			

		

		

			
				
如今利用nginx做负载均衡的实例已经很多了,针对同的应用场合,还有很多需要注意的地方,本文要说的就是在通过CDN 后到达nginx做负载均衡时请求头中的X-Forwarded-For项到底发生了什么变化。下图为简单的web架构图:

 

先来看一下X-Forwarded-For的定义:X-Forwarded-For:简称XFF头,它代表客户端,也就是HTTP的请求端真实的IP,只有在...

			
		

	





	

		

			

				
					
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

				
			

			

				

					weixin_30826095的博客
				

				

					05-02
					
					4719
					
				

			

		

		

			
				
1.nginx 配置模板

server {

    listen 80;
    client_max_body_size 512M;

    proxy_set_header Connection "";
    proxy_http_version 1.1;
    proxy_connect_timeout  300;
    proxy_read_timeout ...

			
		

	



		

			
		



	

		

			

				
					
Nginxproxy_set_header的变量与X-Forwarded-For伪造客户端IP漏洞

				
			

			

				

					kevin的博客
				

				

					07-14
					
					3069
					
				

			

		

		

			
				
上面突然说,需要检查Nginx反向代理的安全问题并给出了修改方法,小白的我一脸懵逼,明明都是中文,连在一起咋就看明白了。于是乎,对着修改内容简单学习了一下,在此做个记录,如有问题请大佬们指点指点。

			
		

	





	

		

			

				
					
nginx中的proxy_set_header参数详解

				
			

			

				

					m0_74824845的博客
				

				

					03-07
					
					834
					
				

			

		

		

			
				
proxy_set_headerNginx 配置中用于设置代理请求 HTTP 头部的指令。当 Nginx 作为反向代理时,它允许自定义从客户端接收到的请求或添加新的请求头,然后将其转发到后端服务器。这对于维护 HTTP 协议的连贯性、安全性和功能性至关重要。X-My-Header 是一个自定义的请求头字段,用于存储自定义信息。上游服务器可以通过读取 X-My-Header 字段获取自定义信息。

			
		

	





	

		

			

				
					
nginx 反向代理proxy_set_header

				
			

			

				

					weixin_64157795的博客
				

				

					02-18
					
					547
					
				

			

		

		

			
				
proxy_add_x_forwarded_for变量包含$http_x_forwarded_for与$remote_addr两部分,他们之间用逗号分开。4)$proxy_add_x_forwarded_for:获取的是前一节点的X-Forwarded-For的值。3)$http_x_real_ip:获取的是前一节点的X-Real-IP的值。2)$remote_addr:前一节点的IP,并一定是用户的真实IP。$remote_addr是前一节点的IP,并一定是用户的真实IP。

			
		

	





	

		

			

				
					
proxy_set_header Host $host;
		      proxy_set_header X-Real-IP $remote_addr;
		      proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
		      proxy_pass http://127.0.0.1:9898/;

					
最新发布

				
			

			

				

					07-31
				

			

		

		

			
				
 proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; # 代理链路追踪  proxy_set_header X-Forwarded-Proto $scheme; # 原始协议(http/https)    # 性能优化参数  proxy_connect_timeout 60s; # 连接...

			
		

	





	

		

			

				
					

#user  nobody;
worker_processes  1;

#error_log  logs/error.log;
#error_log  logs/error.log  notice;
#error_log  logs/error.log  info;
error_log  logs/error.log  debug;

#pid        logs/nginx.pid;


events {
    worker_connections  1024;
}


#user  nobody;
#worker_processes  1;

#error_log  logs/error.log;
#error_log  logs/error.log  notice;
#error_log  logs/error.log  info;
error_log  logs/error.log  debug;

#pid        logs/nginx.pid;



http {
    # 解决下划线头问题(引用[4])
    underscores_in_headers on;

    server {
        listen 80;
        server_name 10.251.22.122;

        location /sso/ {
            proxy_pass http://10.251.22.122:8700/sso/; 
            proxy_set_header Host $ host;
            proxy_set_header X-Real-IP $ remote_addr;
            proxy_set_header X-Forwarded-For $ proxy_add_x_forwarded_for;
            proxy_set_header X-Forwarded-Proto $ scheme;
            # 避免重复传递内容长度(引用[5])
            proxy_set_header Content-Length "";
        }

        # /web/ 代理配置
        location /web/ {
            proxy_pass http://10.251.22.248:80/;
            proxy_set_header Host $ host;
            proxy_set_header X-Real-IP $ remote_addr;
            proxy_set_header X-Forwarded-For $ proxy_add_x_forwarded_for;
            proxy_set_header X-Forwarded-Proto $ scheme;
            proxy_set_header Content-Length "";
        }

        # 其他路径处理
        location / {
            return 404;
        }
    }
}
上面nginx.conf在nginx运行报错[emerg] 17476#26152: invalid number of arguments in "proxy_set_header" directive in E:\nginx-t/conf/nginx.conf:42

				
			

			

				

					06-25
				

			

		

		

			
				
 proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;  proxy_set_header X-Forwarded-Proto $scheme;  }   location ~ /web/ {  proxy_pass http://10.251.22.248:80/;  # ✅ 正确写法  proxy_set_...

			
		

	





	

		

			

				
					
nginx反向代理proxy_set_header说明

				
			

			

				

					jialiu111111的博客
				

				

					11-25
					
					5941
					
				

			

		

		

			
				
默认为on,如果我们在错误日志中发现“SSL3_GET_FINSHED:digest check failed”的情况时,可以将该指令设置为off。#代理HTTPS服务器建立连接时,是否传递SNI信息。#开启代理时校验后端服务器公钥证书。field:变量名       value:变量值。设定被代理服务器接收到的header信息。

			
		

	





	

		

			

				
					
proxy_set_header和X-Forwarded-For

				
			

			

				

					weixin_34292924的博客
				

				

					11-02
					
					1214
					
				

			

		

		

			
				
proxy_set_header
This directive allows to redefine and to add some request header lines which will be transferred to the proxied server.
这个是change而是add,我了割草....我分析了好久日志才发现,然后对照官网,果其然
...

			
		

	





	

		

			

				
					
NGINX proxy_set_header和X-Forwarded-For问题

				
			

			

				

					weixin_33716941的博客
				

				

					09-12
					
					723
					
				

			

		

		

			
				
Proxy_set_header This directive allows to redefine and to add some request header lines which will be transferred to the proxied server.
这个是change而是add,我了割草....我分析了好久日志才发现,然后对照官网,果其...

			
		

	





	

		

			

				
					
Nginx做反向代理和负载均衡时“X-Forwarded-For”信息头的处理

				
			

			

				

					weixin_34242509的博客
				

				

					03-08
					
					1112
					
				

			

		

		

			
				
一、概述
 如今利用nginx做反向代理和负载均衡的实例已经很多了,针对同的应用场合,还有很多需要注意的地方,本文要说的就是在通过CDN后到达nginx做反向代理和负载均衡时请求头中的“X-Forwarded-For”项到底发生了什么变化。
二、简单web架构图

三、X-Forwarded-For的定义:
X-Forwarded-For:简称XFF头,它代...

			
		

	





	

		

			

				
					
Nginx $proxy_add_x_forwarded_for and $real_ip_header, X-Forwarded-For proxy IP changes

				
			

			

				

					zzhongcy的专栏
				

				

					11-22
					
					1796
					
				

			

		

		

			
				
这两个的变量的值的区别,就在于,proxy_add_x_forwarded_for 比http_x_forwarded_for 多了一个$remote_addr的值。但是只能获取到与服务器本身直连的上层请求,所以设置remoteaddr只能获取到与服务器本身直连的上层请求ip,所以设置remote_addr一般都是设置第一个代理上面但是问题是,有时候是通过cdn访问过来的,那么后面web服务器获取到的,永远都是cdn 的ip 而非真是用户ip。

			
		

	





	

		

			

				
					
nginx反向代理中的proxy_set_header

				
			

			

				

					程序的战歌
				

				

					09-06
					
					8795
					
				

			

		

		

			
				
是什么?

nginx作为反向代理时,proxy_set_header设置的请求头是传递给后端服务器的。



为什么?

场景一:

后端服务器想要知道用户的真实IP,就可以通过proxy_set_header来传递给后端服务器。

场景二:

后端服务器想知道这次HTTP请求的整个流程,也可以通过proxy_set_header来传递给它。



怎么用?

在nginx配置文件中的...

			
		

	





	

		

			

				
					
proxy_set_header X-Forwarded-Port怎么用

				
			

			

				

					03-15
				

			

		

		

			
				
<think>好的,用户问的是关于Nginx配置中的proxy_set_header X-Forwarded-Port的用法。我需要先理解这个指令的作用和常见使用场景。首先,X-Forwarded-Port是HTTP请求头之一,通常用于反向代理环境中,告诉后端服务器客户端原本请求的端口号。当Nginx作为反向代理时,后端应用可能需要知道客户端使用的原始端口,比如生成正确的URL或者进行重定向。这时候就需要设置这个头。

接下来,我需要回忆一下proxy_set_header的基本用法。这个指令用于修改或设置传递给后端服务器的请求头。默认情况下,Nginx可能会传递X-Forwarded-Port,或者传递的是Nginx与后端服务器通信时的端口,而是客户端的原始端口。因此,用户可能需要显式地设置这个头,以确保后端获得正确的信息。

然后,我需要考虑用户可能的配置环境。常见的配置是在location块或server块中使用proxy_pass,同时添加proxy_set_header指令。例如,用户可能在配置反向代理到某个应用服务器,如Node.js或Tomcat,这时后端应用可能需要读取X-Forwarded-Port来正确处理请求。

另外,需要注意变量的问题。在Nginx中,$server_port变量代表客户端请求到达Nginx时使用的端口,而$proxy_port可能是指向后端服务器的端口。但用户需要的是客户端原始端口,所以应该使用$server_port。因此,正确的配置应该是proxy_set_header X-Forwarded-Port $server_port;。

可能还需要提醒用户,如果有其他代理层,比如负载均衡器在Nginx之前,这时候可能需要使用同的变量,比如$http_x_forwarded_port,但这种情况相对少见,一般基础配置中直接使用$server_port即可。

然后,用户可能想知道如何验证这个头是否正确传递。这时候可以建议他们检查后端服务器的日志,或者使用工具如curl来查看响应头,或者配置Nginx记录访问日志时包含这个头的信息。

此外,需要提到相关的其他头,比如X-Forwarded-For和X-Forwarded-Proto,这些通常一起使用,以传递客户端的IP、协议和端口,构成完整的反向代理信息。可能用户也需要设置这些头,所以给出一个完整的示例配置会更好。

最后,要确保语法正确,比如在配置中是否包含proxy_http_version 1.1;和proxy_set_header Host $host;等常见指令,以确保代理连接的正确性。同时,提醒用户如果之前有别的proxy_set_header指令,可能需要覆盖或合并配置,避免冲突。

总结一下,用户可能需要一个清晰的配置示例,解释每个部分的作用,以及验证方法,同时指出常见问题和相关配置,确保他们能正确应用这个指令。</think>以下为分步解释和配置说明:

一、作用说明
`proxy_set_header X-Forwarded-Port` 用于在Nginx反向代理场景中,将客户端原始请求的端口号传递给后端服务器。当后端应用需要识别客户端实际访问的端口时(如生成动态链接或处理重定向),这个配置至关重要。

二、基础配置示例
```nginx
location / {
    proxy_pass http://backend_server;
    
    # 核心配置:传递客户端原始端口
    proxy_set_header X-Forwarded-Port $server_port;
    
    # 推荐配套设置的常用头
    proxy_set_header Host $host;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_set_header X-Forwarded-Proto $scheme;
}
```
说明:
- `$server_port` 变量自动捕获客户端请求到达Nginx时使用的端口
- 需配合 `proxy_pass` 使用才会生效
- 通常与 `X-Forwarded-Proto` (协议)、`X-Forwarded-For` (客户端IP) 配合使用

三、典型使用场景
1. 后端需要生成绝对URL时:
   例如:当用户通过 `https://example.com:8080/api` 访问时,后端应用需要正确生成包含 `:8080` 的链接

2. 端口重定向逻辑:
   当应用需要根据原始端口实施同的重定向策略时

3. 日志记录:
   在访问日志中记录客户端真实访问端口

四、验证方法
1. 后端检查请求头:
   在后端应用打印接收到的 `X-Forwarded-Port` 值,例如在Node.js中:
   ```javascript
   console.log(req.headers['x-forwarded-port']); // 应显示客户端原始端口
   ```

2. 通过curl测试:
   ```bash
   curl -H "Host: example.com" http://nginx-server:80/test -v
   ```
   在后端应看到 `X-Forwarded-Port: 80`

3. 检查Nginx访问日志(需提前配置):
   ```nginx
   log_format proxy_log '$remote_addr - $http_x_forwarded_port';
   access_log /var/log/nginx/access.log proxy_log;
   ```

五、常见问题处理
1. 端口显示正确的情况:
   - ✅ 确保没有多层代理覆盖值
   - ✅ 检查是否错误使用了 `$proxy_port` 变量(该变量表示Nginx连接后端的端口)

2. HTTPS特殊场景:
   ```nginx
   # 当使用SSL termination时
   proxy_set_header X-Forwarded-Port $server_port;  # 仍有效,显示443
   ```

3. 负载均衡器前置情况:
   ```nginx
   # 如果前方还有LB,可能需要:
   proxy_set_header X-Forwarded-Port $http_x_forwarded_port;
   ```

六、完整配置参考
```nginx
server {
    listen 8080;
    server_name example.com;

    location / {
        proxy_pass http://localhost:3000;
        proxy_http_version 1.1;
        
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "upgrade";
        proxy_set_header Host $host;
        proxy_set_header X-Forwarded-Port $server_port;  # 关键配置
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
    }
}
```

建议通过实际请求测试验证头的传递情况,确保后端应用能正确接收和处理端口信息。

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

  
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值