HTTP_X_FORWARDED_FOR为空和 HTTPS

用户行为分析与IP记录策略

最新推荐文章于 2024-07-02 07:30:00 发布

最新推荐文章于 2024-07-02 07:30:00 发布 · 973 阅读

本文探讨了网站用户行为分析中的关键要素：用户IP记录的重要性及其在不同HTTP协议下的处理方式，强调了记录IP地址前需注意的事项，如避免缓存影响和HTTPS页面的特殊处理。

用户行为分析是很多网站都要做的模块。

其中用户IP是个很有用的信息。

网上有GeoIP Lite版本可以用来记录用户IP还可以得知地址信息。尽管地址信息不完全准确。

在记录用户IP是，如果用户使用了代理，那么IP地址是通过HTTP_X_FORWARDED_FOR传递的。

在记录这些信息时，务必注意HTTP和HTTPS的差别。很多网站用户登录/注册页面都是HTTPS的。

在HTTPS中，数据(header)是端到端加密的。取不到HTTP_X_FORWARDED_FOR信息。

所以如果想记录用户IP，得在跳转到HTTPS页面之前记录，而且执行代码不能放在被缓存的页面中。

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

iteye_9104

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

HTTP 请求头中的 Remote_Addr，X-Forwarded-For，X-Real-IP | Spring Cloud 13

gmHappy

03-08

1万+

X-Real-IP是一个自定义`Header`。`X-Real-Ip` 通常被 `HTTP` 代理用来表示与它产生 `TCP` 连接的设备 `IP`，这个设备可能是其他代理，也可能是真正的请求端。需要注意的是，`X-Real-Ip` 目前并不属于任何标准，代理和 `Web` 应用之间可以约定用任何自定义头来传递这个信息。 X-Forwarded-For（`XFF`）是用来**识别**通过**HTTP代理**或**负载均衡**方式连接到`Web`服务器的客户端**最原始的`IP`地址的`HTTP`请求字段。

获取客户端IP HTTP_CLIENT_IP、HTTP_X_FORWARDED_FOR、REMOTE_ADDR

changfangyuansh

06-11

1945

public function get_ip() { if (isset($_SERVER)) { if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) { $realip = $_SERVER['HTTP_X_FORWARDED_FOR']; } elseif (isset($_SERVER['...

参与评论您还未登录，请先登录后发表或查看评论

nginx反向代理request.getHeader("x-forwarded-for")为null，且request.getRemoteAddr()为本机地址

热门推荐

吴名氏的博客

05-08

9万+

一、产生原因： 1.使用方向代理是未设置x-forwarded-for头，或者设置x-forwarded-for头的配置语句存放错误导致request.getHeader("x-forwarded-for")为null 2.导致request.getRemoteAddr()为本机地址是因为，设置了nginx反向代理，中间加了一层访问，所以request.getRemoteAddr()为本机地址...

X-Forwarded-For是怎么来的

servepeople的博客

07-18

816

X-Forwarded-For 由来

request.getHeader("x-forwarded-for") = null ?

nlgshw的专栏

03-12

7116

request.getHeader(“x-forwarded-for”) = null ? 在使用Nginx代理网络请求时，设置proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for，但是的server端(Tomcat，Spring)收到的网络请求中却得不到这个x-forwarded-for的信息。

apache反向代理tomcat时x-forwarded-for为null的问题

老发的记录本

11-19

1万+

apache 在用ProxyPass时会自动在header中设置X-Forwarded-For X-Forwarded-Host和X-Forwarded-Server 如果tomcat后端不做设置，在jsp中用out.println("x-forwarded-for:" + request.getHeader("x-forwarded-for") + "");能获取到客户ip，但是为了

HTTP 请求头中的 X-Forwarded-For

weixin_33796177的博客

02-27

805

remote_addr: 代表客户端的IP，但它的值不是由客户端提供的，而是服务端根据客户端的ip指定的，当你的浏览器访问某个网站时，假设中间没有任何代理，那么网站的web服务器（Nginx，Apache等）就会把remote_addr设为你的机器IP，如果你用了某个代理，那么你的浏览器会先访问这个代理，然后再由这个代理转发到网站，这样web服务器就会把remote_addr设为这台代理机器的I...

asp HTTP_X_FORWARDED_FOR和REMOTE_ADDR

10-30

如果HTTP_X_FORWARDED_FOR不为空，则需进一步处理该变量中的IP地址列表，通常取第一个IP作为用户的真实IP地址。开发者还应该注意到，代理服务器可以被配置成多级，即用户可能通过多级代理访问服务器。在多级代理的...

Nginx(openresty) X-Forwarded-For $proxy_add_x_forwarded_for 多层代理通过map分割获取客户端真实IP地址获取第一个IP

tonyhi6的博客

07-02

1458

$proxy_add_x_forward,对应的有2个IP ，以逗号分隔，第一个IP 为客户端真实IP，第二个为代理服务器IP地址。5 X-Forwarded-For获取第一个IP地址。4 在转后的服务器，查看日志。6 访问查看第一个IP地址。2 nginx 日志配置。1 nginx 配置。

使用HTTP_X_FORWARDED_FOR获取客户端IP的严重后果

10-29

在上述代码中，首先尝试从HTTP_X_FORWARDED_FOR获取IP地址，如果为空，则退回到REMOTE_ADDR。REMOTE_ADDR返回的是直接与服务器建立连接的客户端的IP地址，通常不会被伪造。然而，使用HTTP_X_FORWARDED_FOR存在几个...

java中通过request.getHeader(“x-forwarded-for“) = null问题

weixin_43811057的博客

12-07

3144

最近项目种通过request.getHeader(“x-forwarded-for”)在内网环境下一直为null，外网环境能够正常输出ip链。通过一顿排除最终解决了。项目使用的环境为nginx +Tomcat。出现这个问题就是怪tomcat。详细解释参考如下博文： Tomcat——获取用户真实IP request.getHeader(“x-forwarded-for”) = null ? tomcat记录X-Forwarded-For字段中的远程IP解决方案：在tomcat/conf/目录下找到se

nginx之头部变量x_forwarded_for

weixin_33835103的博客

01-03

134

$proxy_add_x_forwarded_for是什么？$proxy_add_x_forwarded_for变量包含客户端请求头中的"X-Forwarded-For"，与$remote_addr两部分，他们之间用逗号分开。举个例子，有一个web应用，在它之前通过了2个nginx转发，即用户访问该web通过2台nginx。在第一台nginx中,使用proxy_set_hea...

nginx 根据remote_addr http_x_forwarded_for 访问权限配置

edgar_t的博客

09-26

1549

功能说明：当 $http_x_forwarded_for 为空会‘-’时（没有代理服务器或代理未配置 $http_x_forwarded_for ），Real为$remote_addr(客户端真实IP) 判断$Realip 访问权限当 $http_x_forwarded_for 有一个或者多个IP时Real为 $http_x_forwarded_for 第一个IP（客户端真实IP）判断$Realip 访问权限配置http_x_forwarded_for 代理服务器添加 proxy_set_

使用nginx后如何在web应用中获取用户ip及原理解释

臻心依旧

08-28

2542

http://gong1208.iteye.com/blog/1559835 使用nginx后如何在web应用中获取用户ip及原理解释 -------gongyong 问题背景：在实际

X-Forwarded-For的一些理解(1)

zyhmz的博客

09-08

2万+

关于X-Forwarded-For的一些简要概述一个关于X-Forward-For的一个思考欢迎使用Markdown编辑器写博客快捷键 Markdown及扩展表格定义列表代码块脚注目录数学公式 UML 图: 离线写博客浏览器兼容关于X-Forwarded-For的一些简要概述 X-Forwarded-For 是一个 HTTP 扩展头部，主要是为...

X-Forwarded-For注入漏洞实战

qq_36933272的博客

09-03

1996

浏览器设置代理，burp截断登陆请求的数据包 send to repeater，然后增加一行X-Forwarded-For:*，下一行留空 Go 保存response，改成txt文件打开sqlmap，依次查出数据库、查询表名、查询列中的字段，如sqlmap -r txt文件路径 --dbs --batch（–batch 批处理，在检测过程中会问用户一些问题，使用这个参数统统使用默认值。） sql...

HTTP 请求头中的 Remote_Addr，X-Forwarded-For，X-Real-IP

weixin_30889885的博客

02-28

3941

REMOTE_ADDR 表示发出请求的远程主机的 IP 地址，remote_addr代表客户端的IP，但它的值不是由客户端提供的，而是服务端根据客户端的ip指定的，当你的浏览器访问某个网站时，假设中间没有任何代理，那么网站的web服务器（Nginx，Apache等）就会把remote_addr设为你的机器IP，如果你用了某个代理，那么你的浏览器会先访问这个代理，然后再由这个代理转发到网站，这样w...

解决nginx反向代理页面空白!

简单记录

10-17

8427

nginx反向代理后端服务页面空白是因为什么?如何解决.

电商课题：客户端的IP地址伪造、CDN、反向代理、获取的那些事儿

weixin_33869377的博客

09-19

589

20120917 @郑昀汇总外界流传的JAVA/PHP服务器端获取客户端IP都是这么取的：伪代码： 1）ip = request.getHeader("X-FORWARDED-FOR") 可伪造，参考附录A 2）如果该值为空或数组长度为0或等于"unknown"，那么： ip = request.getHeader("Proxy-Client-IP") 3）如果该值为空或...

清空http_x_forwarded_for参数

最新发布

04-10

### 清空或移除X-Forwarded-For头的方法在Nginx配置中，可以通过`proxy_set_header`指令来控制转发给后端服务的请求头。如果希望清空或移除`X-Forwarded-For`头，则可以将其值设置为空字符串或者完全不传递该头部。 #### 方法一：通过Nginx配置清除以下是基于Nginx的解决方案： ```nginx server { listen 80; server_name example.com; location / { # 将 X-Forwarded-For 头部设为空 proxy_set_header X-Forwarded-For ""; # 或者可以选择不设置此头部，默认不会传递 # proxy_set_header X-Forwarded-For off; proxy_pass http://backend_server; } } ``` 上述配置中，`proxy_set_header X-Forwarded-For "";` 的作用是将`X-Forwarded-For`头的值替换为空字符串[^1]。如果不希望任何情况下都发送该头部，也可以省略这一行配置，因为未显式指定时，Nginx 默认不会自动添加它。 #### 方法二：通过应用程序层处理除了在反向代理层面（如 Nginx）操作外，在应用层同样能够实现对 `X-Forwarded-For` 的清理工作。例如，在 Django 中可修改中间件逻辑以过滤掉不需要的请求头信息。对于 Java 应用程序而言，假如采用 Vert.x 框架构建 Web Server ，可以在接收客户端请求之前先检查并删除特定字段: ```java router.route().handler(context -> { context.request().headers().remove("X-Forwarded-For"); context.next(); }); ``` 这里利用了 Vert.x Router 提供的功能，在每个请求进入业务逻辑前先行调整其 Header 属性[^3]。 #### 注意事项需要注意的是，“清空”并不意味着安全风险消失；相反地，某些场景下保留原始 IP 地址链路可能更有助于追踪恶意行为来源。因此建议慎重考虑是否真的有必要执行此类改动动作。 --- ### 示例代码片段展示如何手动构造不含目标Header的新Request对象下面给出一段 Python 脚本演示如何借助 requests 库发起无指定 Headers 字段的 GET 请求过程： ```python import requests url = 'https://example.com' headers = {'User-Agent': 'Mozilla/5.0'} # 自定义其他必要的Headers项 response = requests.get(url, headers=headers) print(response.status_code) print(response.text) ``` 在这个例子当中并未加入关于 `X-Forwarded-For` 参数的相关声明，从而达到间接“去除”的目的[^4]。 --- 相关问题

HTTP_X_FORWARDED_FOR为空 和 HTTPS

HTTP_X_FORWARDED_FOR为空和 HTTPS