5. X-Forwarded-For 与 Remote Addr

最新推荐文章于 2025-02-24 21:43:59 发布
最新推荐文章于 2025-02-24 21:43:59 发布
阅读量927 收藏 1
点赞数 2
分类专栏: HTTP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/hukfei/article/details/88556634
版权
本文介绍了HTTP头中的X-Forwarded-For和REMOTE_ADDR的概念及用途。X-Forwarded-For用于获取客户端真实IP,可能经过多个代理服务器,而REMOTE_ADDR表示与服务器直接建立TCP连接的IP地址,无法被伪造。在反向代理场景中,REMOTE_ADDR通常是代理服务器的IP,而X-Forwarded-For可记录客户端及中间代理的IP。在配置反向代理时,可以通过X-Forwarded-For和X-Real_IP来追踪真实客户端IP。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

简介

X-Forwarded-For 是一个 HTTP 扩展头部,主要是为了让 Web 服务器能够获取到客户端真实的 ip。(可以被伪造,客户端发送请求时可以 override 这个请求头)

REMOTE_ADDR 表示与服务器进行 TCP 连接的 IP,这个值不能够被伪造。(TCP 连接会经过三次握手,如果伪造了,便没有后续的请求)

Remote addr

首先我们来看一个请求在到达服务端之前可能出现的路径。

客户端->(正向代理->透明代理->反向代理->)web 服务器

其中正向代理、透明代理和反向代理不一定存在。首先解释下这三个概念:

  • 正向代理:很多企业会在自己的出口网关上设置代理(主要是为了加速和节省流量)
  • 透明代理:可能是用户自己设置的代理(比如为了翻墙,这样也绕开了公司的正向代理)
  • 反向代理:一般部署在 Web 服务器前面的,主要原因是为了负载均衡和安全考虑。

现在假设以下几种情况下,Remote Addr 的值是什么:

  • 客户端直连 Web 服务器,则 Remote Addr 获取到的是客户端真实的 ip
  • web 服务器部署了反向代理(如 nginx),则 Remote Addr 获取的是反向代理设备的 ip(nginx)
  • 客户端通过正向代理直连 web 服务器,则 Remote Addr 获取到的是
最低0.47元/天 解锁文章
HTTP 请求头中的 Remote_Addr,X-Forwarded-For,X-Real-IP | Spring Cloud 13
gmHappy
03-08 1万+
X-Real-IP是一个自定义`Header`。`X-Real-Ip` 通常被 `HTTP` 代理用来表示它产生 `TCP` 连接的设备 `IP`,这个设备可能是其他代理,也可能是真正的请求端。需要注意的是,`X-Real-Ip` 目前并不属于任何标准,代理 `Web` 应用之间可以约定用任何自定义头来传递这个信息。 X-Forwarded-For(`XFF`)是用来**识别**通过**HTTP代理**或**负载均衡**方式连接到`Web`服务器的客户端**最原始的`IP`地址的`HTTP`请求字段。
python伪造请求头x-forwarded-for的作用_python3-requests伪造x-forwarded-for以及解决
weixin_39864489的博客
12-22 1348
通常,我们的服务器会有一级或者多级的反向代理, 因此我们代码中拿remote_addr会取到最后一级反向代理的ip。为了拿到真实ip,常常会去x-Forward-For中拿用户最后一级代理Ip。但是由于该值是header中的, 直接去取可能取到用户伪造的Ip。这一HTTP头一般格式如下:X-Forwarded-For: client1, proxy1, proxy2其中的值通过一个 逗号+空格 把...
HTTP请求头X-Forwarded-ForRemote_Addr
诗人不写诗
05-31 3094
HTTP协议定义了很多头部参数,这些参数由请求的发起方响应方设置,所以头部参数可以分为请求头响应头,通信双方(浏览器服务器)会去读取这些头部参数并做出对应的的动作。如果有人不按协议设置这些参数,就可以达到一些非法的目的。 X-Forwarded-For起源 xxf这个请求头,很多应用层在使用,所以这里必须要了解他的意义。X代表这是一个扩展的头参数。事实也正是如此,最开始xxf是Squid cache这个缓存代理服务软件自定义的一个头部参数,用来标识请求的源IP。后来,xxf的使用范围越来越广泛,被
什么是remote addr
最新发布
2302_79932868的博客
02-24 244
Nginx realip 模块:配置 `set_real_ip_from` `real_ip_header`,从 `X-Forwarded-For` 中提取真实 IP。- 代理场景:若用户通过代理服务器(如 HAProxy、CDN)访问,`remote_addr` 会显示代理服务器的 IP,而非用户真实 IP。- 测试案例:通过伪造 `X-Forwarded-For` 头,`remote_addr` 仍显示实际发起请求的客户端 IP。关于 `remote_addr` 的解释。
如何正确设置nginx中remote_addrx_forwarded_for参数
08-16 2万+
怎样正确设置remote_addrx_forwarded_for 2013-04-20 做网站时经常会用到remote_addrx_forwarded_for这两个头信息来获取客户端的IP,然而当有反向代理或者CDN的情况下,这两个值就不够准确了,需要调整一些配置。 什么是remote_addr remote_addr代表客户端的IP,但它的值不是由客户端提供的,而
HTTP 请求头中的 Remote_Addr,X-Forwarded-For,X-Real-IP
weixin_30889885的博客
02-28 3719
REMOTE_ADDR 表示发出请求的远程主机的 IP 地址,remote_addr代表客户端的IP,但它的值不是由客户端提供的,而是服务端根据客户端的ip指定的,当你的浏览器访问某个网站时,假设中间没有任何代理,那么网站的web服务器(Nginx,Apache等)就会把remote_addr设为你的机器IP,如果你用了某个代理,那么你的浏览器会先访问这个代理,然后再由这个代理转发到网站,这样w...
remote_addrx_forwarded_for的区别
weixin_30781107的博客
09-06 344
什么是remote_addrremote_addr 是服务端根据请求TCP包的ip指定的。假设从client到server中间没有任何代理,那么web服务器(Nginx,Apache等)就会把client的IP设为IPremote_addr;如果存在代理转发HTTP请求,web服务器会把最后一次代理服务器的IP设置为remote_addr。 什么是x_forwarded_for当使用代理时,we...
X-Forwarded-For Header-crx插件
04-02
此扩展允许您快速更新X-Forwarded-For,X-Originating-IP,X-Remote-IPX-Remote-Addr HTTP标头,以进行各种测试。 变更日志:v0.6.2-修复了干扰此扩展的Firefox版本的错误v0.6.1-修复了CORS预检请求的问题v0.6.0-...
X-Forwarded-For Header_0.6.2_0.zip
08-24
此扩展允许您快速更新各种 X-Forwarded-For、X-Originating-IP、X-Remote-IP X-Remote-Addr HTTP 标头 打开Chrome浏览器的扩展程序: 地址栏直接输入:chrome://extensions/ 把下载到的文件解压后,点击加载已...
Nginx 获取客户端真实IP $remote_addrX-Forwarded-For
热门推荐
小楼一夜听春雨,深巷明朝卖杏花
06-09 4万+
nginx配置 首先,一个请求肯定是可以分为请求头请求体的,而我们客户端的IP地址信息一般都是存储在请求头里的。如果你的服务器有用Nginx做负载均衡的话,你需要在你的location里面配置X-Real-IPX-Forwarded-For请求头: location ^~ /your-service/ { proxy_set_header X-Real-IP $remote_addr; pro
Gateway的RemoteAddrRemoteAddressResolver源码分析
秃头的博客
03-17 1338
yml配置:如果我们在yml的断言配置如下图,那么他将匹配不成功。
nginx+tomcat 获取正确的remoteAddr
Coder
04-30 2439
一、问题背景 通过nginx来反向代理客户端请求,经过nginx中转转发给tomcat服务器,但发现tomcat服务器无法获取到正确的remoteAddr客户端地址,每次请求拿到的都是nginx所在服务器的IP 1、在tomcat服务器上查看tomcat服务日志,发现打印的请求日志,remoteAddr都是nginx的IP,而不是客户端的真实IP ## 192.168.200.251是...
Go新项目-Golang使用RemoteAddr()获取远程主机地址的注意事项(9)
hmx224_2014的专栏
01-18 1512
关于这个问题的具体的内容可以查看:HTTP协议中的X-Real-IP, X-Forwarded-Forremote_addr头。http.Request 下的方法RemoteAddr() 可以获取客户端的地址端口号,最近的一个项目中用到了这个方法。因为线上项目使用nginx做了反向代理,所以导致服务端每次获取的都是nginx的地址,即127.0.0.1。当http请求不存在代理的时候,使用这个方法时没有问题的,但是在有代理的情况下,就只能通过其他的方法来获取了。
远程地址(Remote Address)
weixin_63490470的博客
08-13 2312
在计算机网络网络安全领域,远程地址(Remote Address)通常指的是发起网络请求的客户端的IP地址。这个IP地址可以是公网IP地址(Internet Protocol Address),也可以是私有IP地址(在局域网内部使用,不会在互联网上直接路由)。远程地址在多个场景中都有重要的应用,例如网络监控、访问控制、日志记录数据分析等。
PHP里REMOTE_ADDR字段能够获取真实IP方法
z619193774的博客
02-23 1390
PHP里REMOTE_ADDR字段能够获取真实IP方法测试方法,新建一个test.php文件<?php $ip = $_SERVER['REMOTE_ADDR']; echo $ip; ?>在nginx.conf里加入set_real_ip_from 0.0.0.0/0; real_ip_header X-Forwarded-For; real_ip_recurs
应用获取客户端真实IP
wanger5354的博客
01-09 907
!大家好,我是乔克,一个爱折腾的运维工程,一个睡觉都被自己丑醒的云原生爱好者。作者:乔克公众号:运维开发故事博客:www.jokerbai.com。
HTTP请求IP伪造
qq_38185837的博客
05-18 9259
HTTP请求IP伪造 适用范围: 用于在某些特定情况下,只允许特定IP才能访问的页面,后端逻辑不严谨通过前端请求头来判断IP地址; 利用方式: 通过burp或者其他抓包工具添加以下下任意一个请求头,根据实际情况而定 X-Forwarded-For: 192.168.0.91 X-Originating-IP: 192.168.0.92 X-Remote-IP: 192.168.0.93 X-Remote-Addr: 192.168.0.94 X-Client-IP: 192.168.0.95 实例 通过页
CTF-Web7(涉及盲注脚本)
→_→
08-21 1293
7.who are you? 进入这个页面,发现他获取了我的ip,首先想到的就是user agent注入,用updatexml试一下,什么错的没有报...看来这个思路不行(注:user agent注入updatexml不会的参考Sqli-labs之Less-18Less-19) 百度了才知道这是一道伪造IP的题,总结下,伪造IP的HTTP头都有这些: X-Forwarded-For Client-IP x-remote-IP x-originating-IP x-re...
ctf web5 练习_CTF练习平台——web15
weixin_34566436的博客
01-12 384
1、web15image这道题的题目已经将源代码给我们了可以看出这是time-based盲注点开链接,我们看到image想到可以尝试各种IP的HTTP头:X-Forwarded-ForClient-IPx-remote-IPx-originating-IPx-remote-addr发现X-Forwarded-For可以伪造image发现注入的语句原封不动的显示在页面中,但如果注入的语句中有逗号,则...
proxy_set_header X-Forwarded-For $remote_addr;
02-09
### Nginx 配置 `X-Forwarded-For` 头以包含客户端真实 IP 地址 为了确保 Nginx 正确记录并传递客户端的真实 IP 地址,在配置文件中应合理设置 `proxy_set_header` 其他相关指令。 #### 使用 `proxy_set_header` 当使用反向代理时,可以通过如下方式来设置 `X-Forwarded-For` 请求头: ```nginx location / { proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; } ``` 此命令会将原始的 `X-Forwarded-For` 值保留下来,并追加当前请求者的 IP 地址到列表中[^1]。这有助于保持整个链路中的所有中间节点信息。 对于多层代理的情况,如果希望覆盖而不是简单地附加新的 IP 到现有头部,则可以采用下面的方式直接替换 `$remote_addr` 的值: ```nginx location / { proxy_set_header X-Forwarded-For $remote_addr; } ``` 但是需要注意这样做可能会丢失来自上游服务器的信息[^3]。 #### 结合 `real_ip_module` 模块增强安全性准确性 为了让后端应用能够信任由前端负载均衡器或缓存服务传入的特定 HTTP 头部字段所携带的实际客户机 IP 地址,建议启用 Nginx 自带的 `ngx_http_realip_module` 并做适当配置: ```nginx http { ... set_real_ip_from a.a.a.a/24; # 允许指定网段内的设备修改远程地址 real_ip_header X-Forwarded-For; server { listen 80; server_name example.com; location / { proxy_pass http://backend_server; # 设置真实的客户端IP给后端服务 proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; } } } ``` 上述配置允许来自特定网络范围(`a.a.a.a/24`)内机器发送过来的数据包更新内部处理逻辑使用的 `$remote_addr` 变量;同时指定了哪些类型的HTTP头部应该被用来解析实际访客IP——这里选择了常见的 `X-Forwarded-For` 。此外还启用了递归查找功能 (`real_ip_recursive on;`) ,使得即使经过多个层次的代理也能正确识别最初的访问者IP[^2]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值