X-Forwarded-For客户端IP伪造及防范

互联网Web应用常通过Nginx做代理和负载均衡,客户端可伪造x - forwarded - for头信息来伪造IP。本文分析了无代理和有Nginx代理两种情况,分别给出Java获取客户端真实IP的方法及代码示例,还介绍了Nginx的相关配置。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

    前言:由于互联网Web应用很少会将应用服务器直接对外提供服务,一般都会有一层Nginx做代理和负载均衡,有的甚至可能有多层代理,并且客户端可以通过伪造http请求头信息x-forwarded-for来伪造IP,那么如何防止伪造IP呢?本文分别从有代理(Nginx)和没有代理两种情况分析如何获取客户端的真实IP。
    1. 没有代理
        单纯的web应用,没有做代理的情况下,Java获取客户端真实IP,最简单的方式是request.getRemoteAddr(),此方法能获取TCP连接端客户端真实IP;当然,在没有伪造IP的情况下request.getHeader("x-forwarded-for")也可以获取客户端真实IP,如果客户端伪造请求头信息,比如设置请求头信息"x-forwarded-for:伪造IP",那么通过x-forwarded-for获取的IP为:"伪造IP,真实IP",可通过","解析,获取最后一个IP,即为真实IP,具体代码如下:

    //获取request对象,或者直接来自controller控制层
    RequestAttributes ra = RequestContextHolder.getRequestAttributes();
    ServletRequestAttributes sra = (ServletRequestAttributes) ra;
    HttpServletRequest request = sra.getRequest();
    //客户端TCP连接真实IP
    String ip = request.getRemoteAddr();
    //此方法获取的IP可能包含伪造IP
    String ip = request.getHeader("x-forwarded-for");

    2. Nginx做代理
        在有代理的情况下,由于任何请求首先经过Nginx,故通过request.getRemoteAddr()获取的其实是Nginx的IP,并非真实的客户端IP;此时通过x-forwarded-for获取的IP为:"客户端,代理1,代理2,..."或者"伪造IP,客户端,代理1,代理2,...",故不能获取到准确的客户端IP,此时需要配置Nginx TCP客户端连接的真实IP,通过代理配置获取真实IP,可以通过$remote_addr获取客户端IP,Nginx配置如下:
    location / {
                proxy_set_header        X-Real-IP       $remote_addr;
                proxy_set_header        Host            $host;
                proxy_set_header        X-Forwarded-For $proxy_add_x_forwarded_for;
                ...
            }

    此时获取客户端IP的代码如下:

    RequestAttributes ra = RequestContextHolder.getRequestAttributes();
    ServletRequestAttributes sra = (ServletRequestAttributes) ra;
    HttpServletRequest request = sra.getRequest();
    //客户端真实IP
    String ip = request.getHeader("X-Real-IP");
    

评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值