nginx-通过X-Forwarded-For获取客户端真实IP

原创 已于 2022-10-09 18:03:13 修改 · 7.8k 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#nginx #运维

于 2022-10-09 17:57:50 首次发布

前言

在真实生产环境中,最常用的使用nginx作为反向代理来暴露服务。不过在暴露到公网前,我们往往会在前面通过CDN或者云厂商的负载均衡器来暴露我们的服务。

在不通的协议(tcp/http)或场景下,通过X-Forwarded-For获取客户端真实ip的方式往往不同。

配置分析

默认情况下,nginx不会对X-Forwarded-For进行修改。也就是说如果没有额外配置的情况下,nginx前面的负载均衡器或者其他nginx传过来的X-Forwarded-For的值是什么样,nginx反代后还会以一样的值反代下去。

有时候nginx前面的负载均衡器没有传X-Forwarded-For,则需要通过proxy_set_header X-Forwarded-For来修改值。

$proxy_add_x_forwarded_for

$proxy_add_x_forwarded_for会保存X-Forwarded-For中已有的值,并且追加$remote_addr的值,使用逗号隔开。

如果之前X-Forwarded-For中没有值,则修改后X-Forwarded-For中只有$remote_addr的值。

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

$remote_addr

$remote_addr就是到达nginx前的上一层服务器的真实ip。如果nginx前面使用的是云厂商的负载均衡器,一般$remote_addr有可能就是云厂商负载均衡器实例的ip。为什么这里说有可能?负载均衡器根据监听的协议不同也会分两种情况:

  • 如果是tcp协议,针对四层监听,并且默认开启了“获取客户端真实IP”。那么$remote_addr就是来访者的真实IP地址。
  • 如果是http协议,针对七层监听,并且默认开启了“获取客户端真实IP”。那么负载均衡器一般会通过X-Forwarded-For头将客户端真实IP传递到后端服务器。那么这时候$remote_addr通常就是负载均衡器的实例IP。
proxy_set_header X-Forwarded-For $remote_addr;

这种配置方式和$proxy_add_x_forwarded_for不一样,不会将$remote_addr的值追加在原来的值后面,而是直接覆盖原有的X-Forwarded-For的值。

$http_x_forwarded_for

nginx中还可以使用$http_x_forwarded_for获取nginx收到的X-Forwarded-For的值。不过一般用于在打印access日志时使用。

如果是上述所说的http协议,针对七层监听,且负载均衡器已经将客户端真实IP放在了X-Forwarded-For中传过来了。那么就不要去修改X-Forwarded-For头,nginx会将传来的值原封不动地再反代到后端服务器去。或者修改就使用$http_x_forwarded_for变量。

nginx X-Forwarded-For
zhaoyangjian724的专栏
04-16 898
nginx : X-Forwarded-For location ^~ /bbb { proxy_pass http://backend2/; proxy_connect_timeout 300; proxy_send_timeout 300; proxy_read_timeout 300; proxy_set_header Host $host...
nginx利用x_forwarded_for实现黑名单访问策略
weixin_44953227的博客
08-22 2338
nginx利用x_forwarded_for实现黑名单访问策略 nginx的remote_addr 的地址是防护墙、F5的地址, 客户端真实IP地址是在 x_forwarded_for中的。该方案是在每个域名中判断一个 x_forwarded_for 中是否有系统要拒绝的IP地址,如果有就返回400,不再往后代理。
Nginx(openresty) X-Forwarded-For $proxy_add_x_forwarded_for 多层代理 通过map分割 获取客户端真实IP地址 获取第一个IP
tonyhi6的博客
07-02 1455
$proxy_add_x_forward,对应的有2个IP ,以逗号分隔,第一个IP客户端真实IP,第二个为代理服务器IP地址。5 X-Forwarded-For获取第一个IP地址。4 在转后的服务器,查看日志。6 访问查看第一个IP地址。2 nginx 日志配置。1 nginx 配置。
详解 HTTP 特殊请求头:X-Forwarded-For 与 X-Real-IP(小白友好版)
qq_39866533的博客
10-19 1257
X-Forwarded-For 是由早期 Squid 缓存代理软件提出的自定义 HTTP 头,目的是记录“客户端真实 IP + 请求经过的所有代理服务器 IP”,形成完整的请求链路,让后端服务器能追溯请求的真实来源。X-Real-IP 是另一种常用的自定义 HTTP 头,核心作用是向后端服务器传递“客户端真实 IP”,相比 XFF 的“完整链路”,它更简洁——仅记录一个 IP 地址,适合无需追溯代理链路、仅需真实 IP 的场景。两个头的本质是“反向代理传递真实 IP 的工具”
Nginx做代理时X-Forwarded-For信息头的处理
weixin_30443813的博客
10-27 1024
如今利用nginx做负载均衡的实例已经很多了,针对不同的应用场合,还有很多需要注意的地方,本文要说的就是在通过CDN 后到达nginx做负载均衡时请求头中的X-Forwarded-For项到底发生了什么变化。下图为简单的web架构图: 先来看一下X-Forwarded-For的定义:X-Forwarded-For:简称XFF头,它代表客户端,也就是HTT...
Nginx 获取客户端真实IP $remote_addr与X-Forwarded-For
weixin_44021888的博客
04-10 1511
Nginx 获取客户端真实IP $remote_addr与X-Forwarded-For
防止X-Forwarded-For伪造客户端IP漏洞,获取真实IP方法
lmmilove的专栏
03-16 3026
在Web应用开发中,经常会需要获取客户端IP地址。一个典型的例子就是投票系统,为了防止刷票,需要限制每个IP地址只能投票一次。 如何获取客户端IP 在PHP中,获取客户端IP最直接的方式就是使用getenv('HTTP_CLIENT_IP')。这种方式能获取到连接服务器的客户端IP,在中间没有代理的情况下,的确是最简单有效的方式。但是现在web一般都会有一层Nginx做反向代理和负载均衡,有的甚至可能有多层代理。在有反向代理的情况下,直接使用getenv('REMOTE_ADDR');获取到的IP地址是N
python伪造请求头x-forwarded-for的作用_利用X-Forwarded-For伪造客户端IP漏洞成因及防范...
weixin_39984403的博客
12-22 1030
问题背景在Web应用开发中,经常会需要获取客户端IP地址。一个典型的例子就是投票系统,为了防止刷票,需要限制每个IP地址只能投票一次。如何获取客户端IP在Java中,获取客户端IP最直接的方式就是使用request.getRemoteAddr()。这种方式能获取到连接服务器的客户端IP,在中间没有代理的情况下,的确是最简单有效的方式。但是目前互联网Web应用很少会将应用服务器直接对外提供服务,一般...
Nginx 之 X-Forwarded-For 中首个IP一定真实吗?
码代码的陈同学
10-13 5787
欢迎访问陈同学博客原文 使用 Nginx 基于客户端IP进行限流时,需在代理中拿到客户端真实IP获取IP方式有多种,如利用 remote_addr、X-Real-IP、X-Forwarded-For等。 以前看到一些项目通过获取 X-Forwarded-For 中首个IP作为真实IP,这其实有些不妥之处。本文记录下在 Nginx 作反向代理时, X-Forwarded-For 及其他获取真实...
X-Forwarded-For详细介绍PDF
01-18
总之,X-Forwarded-For在复杂网络环境中扮演着至关重要的角色,它帮助服务器获取客户端的准确位置,同时也带来了安全和隐私方面的挑战。理解并正确使用XFF,可以有效提升服务的可管理性和安全性。
获取XFF(X-Forwarded-For真实IP配置nginx限流模块
qq_26726189的博客
03-05 761
然后在添加nginx限流模块ngx_http_limit_req_module来配置,一般官方nginx是默认安装的模块,没有的话可以编译安装一下,官网下的windows预编译版是自带的。XFF里的参数是途径IP,由逗号隔开的,而我们常用的remote_addr,若客户端通过代理(如 CDN、负载均衡器、WAF)访问,则可以看到日志的格式为分为几块,第一块是XFF($proxy_add_x_forwarded_for)的IP。场景:我们项目的WAF不是我们管控,但是传了XFF过来,里面有真实IP
Nginx HTTP 请求头中的 X-Forwarded-For
小楼一夜听春雨,深巷明朝卖杏花
07-20 1万+
背景 通过名字就知道,X-Forwarded-For 是一个 HTTP 扩展头部。HTTP/1.1(RFC 2616)协议并没有对它的定义,它最开始是由 Squid 这个缓存代理软件引入,用来表示 HTTP 请求端真实 IP。如今它已经成为事实上的标准,被各大 HTTP 代理、负载均衡等转发服务广泛使用,并被写入 RFC 7239(Forwarded HTTP Extension)标准之中。 X-Forwarded-For 请求头格式非常简单,就这样: X-Forwarded-For: client
nginx 真实IP Remote-Addr X-Forwarded-For X-Real-IP
飞翔码农的博客
12-17 6810
工作总做负载均衡的时候回经常用到。在这里记录下。 普及下各个机器的名称 发送请求方的机器 名称叫客户端。 请求转发和反向代理的机器叫负载均衡或者LB 最终逻辑处理的机器叫WEB机器。【码农写的逻辑基本上都在WEB机器上】 先说下我们的测试的机器IP分布。 客户端IP 100.100.100.1 负载均衡LB 100.100.100.2 web机器 100.100.1...
nginx反向代理时,X-Forwarded-For 如何设置
热门推荐
lylee1981
06-24 2万+
1 http_x_forwarded_for proxy_add_x_forwarded_for
nginx之头部变量x_forwarded_for
石头视角
06-29 1916
$proxy_add_x_forwarded_for变量包含客户端请求头中的"X-Forwarded-For",与$remote_addr两部分,他们之间用逗号分开。 举个例子,有一个web应用,在它之前通过了2个nginx转发,即用户访问该web通过2台nginx。 在第一台nginx中,使用 proxy_set_header X-Forwarded-For $proxy_...
nginx】配置x-forwarded-for 头部
u010900754的专栏
07-22 1万+
本地用tomcat起了一个j2ee的应用,然后又起了一个nginx做反向代理。 nginx.conf: #user nobody; worker_processes 1; #error_log logs/error.log; #error_log logs/error.log notice; #error_log logs/error.log info; #pid ...
负载均衡:x-forward-for获取客户端真实ip
weixin_30667649的博客
03-04 2216
先来看一下X-Forwarded-For的定义: X-Forwarded-For:简称XFF头,它代表客户端,也就是HTTP的请求端真实IP,只有在通过了HTTP 代理或者负载均衡服务器时才会添加该项。它不是RFC中定义的标准请求头信息,在squid缓存代理服务器开发文档中可以找到该项的详细介绍。标准格式如下: X-Forwarded-For: client1, proxy1,...
Nginx $proxy_add_x_forwarded_for and $real_ip_header, X-Forwarded-For proxy IP changes
zzhongcy的专栏
11-22 1991
这两个的变量的值的区别,就在于,proxy_add_x_forwarded_for 比http_x_forwarded_for 多了一个$remote_addr的值。但是只能获取到与服务器本身直连的上层请求,所以设置remoteaddr只能获取到与服务器本身直连的上层请求ip,所以设置remote_addr一般都是设置第一个代理上面但是问题是,有时候是通过cdn访问过来的,那么后面web服务器获取到的,永远都是cdn 的ip 而非真是用户ip
nginx x-forwarded-for的深度挖掘
狼之梦---爱乌及屋
08-25 216
nginx x-forwarded-for的深度挖掘  (2011-04-04 23:55:55) 转载 标签:  杂谈   如今利用nginx做负载均衡的实例已经很多了,针对不同的应用场合,还有很多需要留意的地方,本文要说的就是在通过CDN 后到达nginx做负载均衡时请求头中的X-Forwarded-For项到底发生了什么变化。下图为简单的we...
x-forwarded-for 获取IP为空
最新发布
11-14
当你在 Spring Boot 中尝试通过 `X-Forwarded-For` 获取客户端 IP 时,发现该 Header 为空(即 `request.getHeader("X-Forwarded-For")` 返回 `null`),这说明 **代理层没有正确设置或传递这个头字段**。 我们来详细分析原因并提供解决方案。 --- ## ✅ 问题:`X-Forwarded-For` 为空的原因 | 原因 | 说明 | |------|------| | ❌ Nginx 未配置 `proxy_set_header` | 这是最常见的原因,Nginx 默认不会自动添加 `X-Forwarded-For` | | ❌ 请求未经过代理,直接访问后端 | 比如你绕过前端 Nginx 直接调用后端服务 | | ❌ 多层代理中某一层覆盖/清除了头部 | 某个中间代理(如内部网关)移除了敏感头 | | ❌ 使用了 HTTPS 终止于前端,但后端代理未正确转发 | | ❌ Docker 网络隔离导致请求“看起来”是内部调用 | --- ## ✅ 解决方案:确保每一层代理都正确设置了 `X-Forwarded-For` ### 步骤一:检查并修复 Nginx 配置 #### ✅ 前端 Nginx(处理 Vue + 转发 API 到后端) ```nginx location /api/ { proxy_pass http://backend-springboot:8080/; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; proxy_set_header X-Forwarded-Host $host; proxy_set_header X-Forwarded-Port $server_port; } ``` > 🔍 关键点: > - `$proxy_add_x_forwarded_for` 会自动判断是否存在 `X-Forwarded-For`,如果存在就追加当前 `$remote_addr`,否则创建。 > - 如果你不写这一行,Header 就根本不会被设置! --- #### ✅ 后端 Nginx(如果有第二层代理) 如果你的架构是: ``` 用户 → 前端 Nginx → 后端 Nginx → Spring Boot ``` 那么 **后端 Nginx 也必须保留这些头字段**: ```nginx location / { proxy_pass http://localhost:8080; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Real-IP $remote_addr; proxy_set_header Host $host; proxy_set_header X-Forwarded-Proto $scheme; } ``` 否则前一级设置的 `X-Forwarded-For` 会被丢弃。 --- ### 步骤二:验证 Header 是否真的传到了后端 在 Spring Boot 控制器中打印所有 Headers 来调试: ```java @GetMapping("/debug") public Map<String, String> debugHeaders(HttpServletRequest request) { Map<String, String> headers = new HashMap<>(); Enumeration<String> headerNames = request.getHeaderNames(); while (headerNames.hasMoreElements()) { String name = headerNames.nextElement(); headers.put(name, request.getHeader(name)); } return headers; } ``` 访问 `/debug` 接口,查看返回结果中是否有: ```json "X-Forwarded-For": "1.2.3.4" ``` 如果没有,则证明 **代理层确实没设置**。 --- ### 步骤三:确认请求路径是否经过代理 常见错误场景: - 开发者直接从 Postman 或浏览器访问 `http://localhost:8080/login`(绕过了 Nginx- 在容器内测试 `curl springboot:8080/api`,此时 `$remote_addr` 是另一个容器 IP,且可能不带任何 `X-Forwarded-*` 头 ✅ 正确做法:始终通过入口 Nginx 访问(如 `http://your-domain.com/api/login`) --- ### 步骤四:启用 Spring Boot 的 Forwarded 支持(重要!) 即使 Nginx 设置了 `X-Forwarded-For`,Spring Boot 默认 **不信任这些头**,需要显式开启。 #### 方法 1:在 `application.yml` 中开启 ```yaml server: forwarded-header-enabled: true ``` #### 方法 2:使用 Java 配置类(更灵活) ```java @Configuration public class WebConfig { @Bean public FilterRegistrationBean<ForwardedHeaderFilter> forwardedHeaderFilter() { FilterRegistrationBean<ForwardedHeaderFilter> bean = new FilterRegistrationBean<>(); bean.setFilter(new ForwardedHeaderFilter()); bean.setOrder(Ordered.HIGHEST_PRECEDENCE); bean.addUrlPatterns("/*"); return bean; } } ``` ✅ 开启后,Spring 会自动将 `X-Forwarded-For` 映射为 `request.getRemoteAddr()` 的值。 > ⚠️ 注意:只在受信网络中开启此功能,防止伪造! --- ### 步骤五:补充备用方案 —— 使用 `X-Real-IP` 有时 `X-Forwarded-For` 仍为空,可以配合使用 `X-Real-IP`: #### Nginx 添加: ```nginx proxy_set_header X-Real-IP $remote_addr; ``` #### Java 工具类改进: ```java public static String getClientIp(HttpServletRequest request) { String xff = request.getHeader("X-Forwarded-For"); if (xff != null && !xff.isEmpty() && !"unknown".equalsIgnoreCase(xff)) { return xff.split(",")[0].trim(); // 第一个IP } String xri = request.getHeader("X-Real-IP"); if (xri != null && !xri.isEmpty() && !"unknown".equalsIgnoreCase(xri)) { return xri.trim(); } return request.getRemoteAddr(); } ``` --- ## ✅ 如何验证问题已解决? 1. 使用浏览器访问你的 Vue 页面,并发起登录请求。 2. 在后端日志中输出 `X-Forwarded-For` 和最终获取IP。 3. 使用公网设备访问(不要用 localhost)。 4. 查看是否能拿到类似 `203.0.113.45` 这样的公网 IP,而不是 `172.x.x.x` 或 `192.168.x.x`。 --- ## ✅ 常见误区提醒 | 错误做法 | 正确做法 | |--------|---------| | 只在最后一层 Nginx 设置 `X-Forwarded-For` | 每一层代理都要设置 | | 直接用 `getRemoteAddr()` | 先读 Header 再 fallback | | 忘记开启 `forwarded-header-enabled` | 开启后才能让 Spring 正确识别 | | 在本地 `docker exec` 测试时不带 Header | 应模拟真实请求链路 | ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值