X-Forwarded-For客户端IP伪造及防范

最新推荐文章于 2025-05-30 07:05:10 发布
最新推荐文章于 2025-05-30 07:05:10 发布
阅读量1w 收藏 22
点赞数 8
CC 4.0 BY-SA版权
分类专栏: Java 技术总结 文章标签: java 获取客户端IP x-forwarded-for $remote_addr 防止伪造IP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/wutongyuWxc/article/details/90552916
互联网Web应用常通过Nginx做代理和负载均衡,客户端可伪造x - forwarded - for头信息来伪造IP。本文分析了无代理和有Nginx代理两种情况,分别给出Java获取客户端真实IP的方法及代码示例,还介绍了Nginx的相关配置。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

    前言:由于互联网Web应用很少会将应用服务器直接对外提供服务,一般都会有一层Nginx做代理和负载均衡,有的甚至可能有多层代理,并且客户端可以通过伪造http请求头信息x-forwarded-for来伪造IP,那么如何防止伪造IP呢?本文分别从有代理(Nginx)和没有代理两种情况分析如何获取客户端的真实IP。
    1. 没有代理
        单纯的web应用,没有做代理的情况下,Java获取客户端真实IP,最简单的方式是request.getRemoteAddr(),此方法能获取TCP连接端客户端真实IP;当然,在没有伪造IP的情况下request.getHeader("x-forwarded-for")也可以获取客户端真实IP,如果客户端伪造请求头信息,比如设置请求头信息"x-forwarded-for:伪造IP",那么通过x-forwarded-for获取的IP为:"伪造IP,真实IP",可通过","解析,获取最后一个IP,即为真实IP,具体代码如下:

    //获取request对象,或者直接来自controller控制层
    RequestAttributes ra = RequestContextHolder.getRequestAttributes();
    ServletRequestAttributes sra = (ServletRequestAttributes) ra;
    HttpServletRequest request = sra.getRequest();
    //客户端TCP连接真实IP
    String ip = request.getRemoteAddr();
    //此方法获取的IP可能包含伪造IP
    String ip = request.getHeader("x-forwarded-for");

    2. Nginx做代理
        在有代理的情况下,由于任何请求首先经过Nginx,故通过request.getRemoteAddr()获取的其实是Nginx的IP,并非真实的客户端IP;此时通过x-forwarded-for获取的IP为:"客户端,代理1,代理2,..."或者"伪造IP,客户端,代理1,代理2,...",故不能获取到准确的客户端IP,此时需要配置Nginx TCP客户端连接的真实IP,通过代理配置获取真实IP,可以通过$remote_addr获取客户端IP,Nginx配置如下:
    location / {
                proxy_set_header        X-Real-IP       $remote_addr;
                proxy_set_header        Host            $host;
                proxy_set_header        X-Forwarded-For $proxy_add_x_forwarded_for;
                ...
            }

    此时获取客户端IP的代码如下:

    RequestAttributes ra = RequestContextHolder.getRequestAttributes();
    ServletRequestAttributes sra = (ServletRequestAttributes) ra;
    HttpServletRequest request = sra.getRequest();
    //客户端真实IP
    String ip = request.getHeader("X-Real-IP");
    

【网络安全】X-Forwarded-For漏洞成因及防范
等风来
11-08 3942
最终,当请求到达Web应用服务器时,可以通过读取X-Forwarded-For头,取出最左边的IP地址来获取客户端的真实IP。由于X-Forwarded-For头是可以被客户端伪造的,攻击者可以在发送请求时,手动添加伪造的X-Forwarded-For头。由于每层代理服务器在转发请求时只是简单地追加IP地址,而不是覆盖该头,因此最终到达应用服务器时,获取到的X-Forwarded-For头的最左边第一个IP很可能并不是客户端的真实IP,而是伪造IP地址。即使存在伪造 IP,这种方法也能识别出真实 IP
墨者学院-X-Forwarded-For注入漏洞实战
weixin_42939822的博客
03-27 6523
墨者学院-X-Forwarded-For注入漏洞实战
一文读懂 XFF 字段原理、漏洞与防范
最新发布
ICT系统集成阿祥
05-30 709
它诞生的初衷是充满善意的,旨在当客户端通过代理服务器访问网站时,代理服务器能够在请求头中添加 X - Forwarded - For 字段,并将客户端的真实 IP 地址填入其中,这样后端服务器就能清晰知晓真正发起请求的客户端是谁。最终,黑客获取了大量客户的账户信息,包括敏感的资金数据和个人身份信息。倘若后端服务器没有对这个字段进行严格的验证和处理,就如同在自家门口随意接纳不明身份的访客,可能会根据伪造IP 地址做出错误的判断,比如给予非法访问权限、记录错误的用户行为等,进而导致安全漏洞。
利用X-Forwarded-For伪造客户端IP漏洞成因及防范
热门推荐
叉叉哥的BLOG
10-15 7万+
问题背景 在Web应用开发中,经常会需要获取客户端IP地址。一个典型的例子就是投票系统,为了防止刷票,需要限制每个IP地址只能投票一次。 如何获取客户端IPJava中,获取客户端IP最直接的方式就是使用request.getRemoteAddr()。这种方式能获取到连接服务器的客户端IP,在中间没有代理的情况下,的确是最简单有效的方式。但是目前互联网Web应用很少会将应用服务器直接对外提...
X-Forwarded-For伪造
m0_48867141的博客
03-14 3767
HTTP请求头中的X-Forwarded-For用来追踪请求的来源IP 应用案例:投票系统,防止刷票,需要限制一个IP只能投票一次 X-Forwarder-For 格式为 X-Forwarded-For: client1, proxy1, proxy2 X-Forwarder-For 包含多个IP地址,每个值通过逗号+空格分开,最左边(client1)是最原始客户端IP地址,中间如果有多层代理,每一层代理会将连接它的客户端IP追加在X-Forwarded-For右边。 如果一个 HTT...
伪造 X-Forwarded-For
intel80586
05-09 3万+
背景 应同学的要求,帮忙刷票。我上去看了一下,对方网站做了IP限制,一天之内一个IP只能投一票,并没有使用cookie校验,验证码校验等技术,总体来说这个网站的情况是比较常见的,常见的解决办法有两个: 使用大量的真实IP刷票 如果你使用的是一个拨号上网的网络,每次的拨号都能随机分配IP,这种情况下,可以使用投票一次,拨号一次的方法来实现刷票,但这个方案有两个问题: 1. 编程稍微复杂,
python伪造请求头x-forwarded-for的作用_利用X-Forwarded-For伪造客户端IP漏洞成因及防范...
weixin_39984403的博客
12-22 973
问题背景在Web应用开发中,经常会需要获取客户端IP地址。一个典型的例子就是投票系统,为了防止刷票,需要限制每个IP地址只能投票一次。如何获取客户端IPJava中,获取客户端IP最直接的方式就是使用request.getRemoteAddr()。这种方式能获取到连接服务器的客户端IP,在中间没有代理的情况下,的确是最简单有效的方式。但是目前互联网Web应用很少会将应用服务器直接对外提供服务,一般...
防止X-Forwarded-For伪造客户端IP漏洞,获取真实IP方法
lmmilove的专栏
03-16 2875
在Web应用开发中,经常会需要获取客户端IP地址。一个典型的例子就是投票系统,为了防止刷票,需要限制每个IP地址只能投票一次。 如何获取客户端IP 在PHP中,获取客户端IP最直接的方式就是使用getenv('HTTP_CLIENT_IP')。这种方式能获取到连接服务器的客户端IP,在中间没有代理的情况下,的确是最简单有效的方式。但是现在web一般都会有一层Nginx做反向代理和负载均衡,有的甚至可能有多层代理。在有反向代理的情况下,直接使用getenv('REMOTE_ADDR');获取到的IP地址是N
获取用户Ip地址通用方法与常见安全隐患(HTTP_X_FORWARDED_FOR)
10-27
2. **HTTP_X_FORWARDED_FOR**: 该方法依赖于HTTP协议的X-Forwarded-For头部字段,用于识别经过HTTP代理或负载均衡器后的客户端IP地址。如果请求通过一个或多个代理传递,那么HTTP_X_FORWARDED_FOR头部字段会包含经过...
反向代理服务器x-forwarded-for带的地址不对
07-27
- *3* [利用X-Forwarded-For伪造客户端IP漏洞成因及防范](https://blog.youkuaiyun.com/weixin_39984403/article/details/111856373)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_...
nginx X-Forwarded-For伪造漏洞及防范
LOOPY_Y的博客
02-19 4752
X-Forwarded-For 作为 HTTP 请求的扩展头,在请求的过程中可以被直接的进行修改。本人讲述如何通过nginx的配置进行防范
X-Forwarded-For 客户端 IP 伪造过程及防范
笑忘哭的博客
01-18 9322
最近收到一条安全漏洞报告,通过利用代码漏洞,并结合HTTP扩展请求头 X-Forwarded-For 可以对客户端IP进行伪造,以达到非法目的。下面我将对这个漏洞进行介绍。 X-Forwarded-For 介绍 X-Forwarded-For 是一个 HTTP 扩展头部,用来表示HTTP请求端真实 IP,HTTP/1.1 协议并没有对它的定义,但现如今X-Forwarded-For已被各大 HTTP 代理、负载均衡等转发服务广泛使用。 X-Forwarded-For 请求头格式: X-Forwarded-
WEB安全-伪造X-Forwarded-For绕过服务器IP地址过滤
06-01 2万+
转自:http://www.jianshu.com/p/98c08956183d 在正常的TCP/IP 通信中,是可以伪造数据包来源 IP 的,但这会让发送出去的数据包返回到伪造IP上,无法实现正常的通信。 实现TCP/IP层级别的伪造很难,因为很难实现正常的TCP连接;但是在应用层协议HTTP上的实现较容易,通过伪造IP,能欺骗多数服务器应用程序实现通信。对于绕过服务器的IP地址过
解决伪造X-Forwarded-For
qq_28915045的博客
03-07 4776
目前很多Web 应用(例如获取用户所在地区,基于 IP 做访问频率控制,禁止某些IP访问等等),为了获取用户真正的 IP,从 HTTP 请求头中获取 IP地址。这些情况下,必须确保获取到的IP地址是真实可靠的。 经过前面的分析和测试,1.对于直接使用的 Web 应用,必须使用从TCP连接中得到的 Remote Address,才是用户真实的IP;2.对于使用 nginx 反向代理服务器的Web应用,nginx必须使用Remote Address正确配置set Headers,后端服务器则使用nginx传过来
X-Forwarded-For客户端IP获取伪造
weixin_42159569的博客
04-21 1007
背景:我在做一个数据查询系统,有些高敏感数据信息,正常访问项目是无权限查看的。唯一的查看途径就是通过Citrix去访问。这时候就需要通过获取客户端地址(X-Forwarded-For)来判定是否Citrix环境。问题:项目是微前端架构,属于主应用中的一个子应用,前端资源和接口请求走了几层nginx(我的项目无权改配置),所以X-Forwarded-For中会有多个值,判断不够准确。最终方案:最终我们选择了拿到所有的X-Forwarded-For值,看是否包含Citrix的ip解决
python3-requests伪造x-forwarded-for以及解决
thewindkee的博客
01-11 7779
通常,我们的服务器会有一级或者多级的反向代理, 因此我们代码中拿remote_addr会取到最后一级反向代理的ip。为了拿到真实ip,常常会去x-Forward-For中拿用户最后一级代理Ip。但是由于该值是header中的, 直接去取可能取到用户伪造Ip。 x-forwarded-for资料 这一HTTP头一般格式如下: X-Forwarded-For: client1, proxy1...
java防止xff伪造ip
dinghongyu520的博客
05-17 1973
背景 现在大厂的代码都有安全测评,在渗透测试时可能用会使用改变x-forwarded-for的值伪造客服端IP,网上常见的配置nginx解决,但对于有的不使用nginx或使用其他的代理方式,我们就只能从服务端入手。 解决方案 这里可以用到的Tomcat中的RemoteIpValve,实现逻辑如下图 如上图逻辑可知只需改变internalProxies的默认值即可通过request.getRemoteAddr()获取到客服端真实IP 我这里使用的SpringBoot,在yml文件中配置...
Web应用程序漏洞-X-Forwarded-For注入
旺仔Sec&blog
07-20 4399
第二十八步,重新审阅刚刚获取os-shell时的日志,发现sqlmap在网站根目录下放置了一个tmpunjoh.php文件(文件名为随机,请注意),可以用于手动上传文件。可以看到,我们从X-Forwarded-For定义的内容,未经过筛选就执行了SQL语句用于查询该IP地址是否在白名单之内,且。第五步,一分钟后扫描结束,切换至Results标签页,可以看到/admin目录被扫描出来,推测该目录为管理员后台地址。第十六步,在BurpSuite中将X-Forwarded-For的值改为一个单引号(’)尝试。
SpringBoot X-Forwarded-For伪造登录IP
01-07
### Spring Boot 中处理 X-Forwarded-For 头的最佳实践 为了有效防止或检测 IP 伪造,在 Spring Boot 应用程序中配置 `X-For` 头是一个重要的安全措施。以下是几种最佳实践方法: #### 配置 Reverse Proxy 地址信任列表 当应用程序位于反向代理之后时,确保只信任来自特定代理服务器的请求非常重要。可以通过设置 `server.forward-headers-strategy=framework` 来启用框架级别的转发头解析功能[^1]。 ```yaml server: forward-headers-strategy: framework ``` 这会使得 Spring Security 和其他组件能够自动识别并正确处理由受信代理传递过来的真实客户端 IP 地址。 #### 使用自定义过滤器验证 XFF Header 创建一个专门用于校验 `X-Forwarded-For` 的 Servlet 过滤器可以帮助进一步增强安全性。该过滤器可以在每次 HTTP 请求到达应用之前对其进行检查,并拒绝任何不符合预期模式的数据包。 ```java import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.ServletException; import javax.servlet.ServletRequest; import javax.servlet.ServletResponse; public class XffValidationFilter implements Filter { @Override public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { HttpServletRequest httpRequest = (HttpServletRequest) request; String forwardedForHeader = httpRequest.getHeader("X-Forwarded-For"); if (!isValidIp(forwardedForHeader)) { HttpServletResponse httpResponse = (HttpServletResponse) response; httpResponse.sendError(HttpServletResponse.SC_FORBIDDEN); return; } chain.doFilter(request, response); } private boolean isValidIp(String ip){ // Implement validation logic here. return true; // Replace this line with actual implementation. } } ``` 此代码片段展示了如何实现基本的 IP 校验逻辑;实际项目中应根据具体需求调整函数内部的具体判断条件。 #### 结合防火墙规则加强防护 除了软件层面的安全机制外,还应该考虑在网络层面上实施额外保护策略。例如,利用云服务提供商提供的 Web Application Firewall(WAF),或者本地部署硬件级设备来阻止恶意流量进入系统边界内。 通过上述多种手段相结合的方式,可以大大降低因 IP 欺骗而导致的风险,从而保障在线业务稳定运行和服务质量不受影响。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值