X-Forwarded-For客户端IP伪造及防范

最新推荐文章于 2025-05-30 07:05:10 发布
最新推荐文章于 2025-05-30 07:05:10 发布
阅读量1w 收藏 22
点赞数 8
CC 4.0 BY-SA版权
分类专栏: Java 技术总结 文章标签: java 获取客户端IP x-forwarded-for $remote_addr 防止伪造IP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/wutongyuWxc/article/details/90552916
互联网Web应用常通过Nginx做代理和负载均衡,客户端可伪造x - forwarded - for头信息来伪造IP。本文分析了无代理和有Nginx代理两种情况,分别给出Java获取客户端真实IP的方法及代码示例,还介绍了Nginx的相关配置。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

    前言:由于互联网Web应用很少会将应用服务器直接对外提供服务,一般都会有一层Nginx做代理和负载均衡,有的甚至可能有多层代理,并且客户端可以通过伪造http请求头信息x-forwarded-for来伪造IP,那么如何防止伪造IP呢?本文分别从有代理(Nginx)和没有代理两种情况分析如何获取客户端的真实IP。
    1. 没有代理
        单纯的web应用,没有做代理的情况下,Java获取客户端真实IP,最简单的方式是request.getRemoteAddr(),此方法能获取TCP连接端客户端真实IP;当然,在没有伪造IP的情况下request.getHeader("x-forwarded-for")也可以获取客户端真实IP,如果客户端伪造请求头信息,比如设置请求头信息"x-forwarded-for:伪造IP",那么通过x-forwarded-for获取的IP为:"伪造IP,真实IP",可通过","解析,获取最后一个IP,即为真实IP,具体代码如下:

    //获取request对象,或者直接来自controller控制层
    RequestAttributes ra = RequestContextHolder.getRequestAttributes();
    ServletRequestAttributes sra = (ServletRequestAttributes) ra;
    HttpServletRequest request = sra.getRequest();
    //客户端TCP连接真实IP
    String ip = request.getRemoteAddr();
    //此方法获取的IP可能包含伪造IP
    String ip = request.getHeader("x-forwarded-for");

    2. Nginx做代理
        在有代理的情况下,由于任何请求首先经过Nginx,故通过request.getRemoteAddr()获取的其实是Nginx的IP,并非真实的客户端IP;此时通过x-forwarded-for获取的IP为:"客户端,代理1,代理2,..."或者"伪造IP,客户端,代理1,代理2,...",故不能获取到准确的客户端IP,此时需要配置Nginx TCP客户端连接的真实IP,通过代理配置获取真实IP,可以通过$remote_addr获取客户端IP,Nginx配置如下:
    location / {
                proxy_set_header        X-Real-IP       $remote_addr;
                proxy_set_header        Host            $host;
                proxy_set_header        X-Forwarded-For $proxy_add_x_forwarded_for;
                ...
            }

    此时获取客户端IP的代码如下:

    RequestAttributes ra = RequestContextHolder.getRequestAttributes();
    ServletRequestAttributes sra = (ServletRequestAttributes) ra;
    HttpServletRequest request = sra.getRequest();
    //客户端真实IP
    String ip = request.getHeader("X-Real-IP");
    

【网络安全】X-Forwarded-For漏洞成因及防范
等风来
11-08 3948
最终,当请求到达Web应用服务器时,可以通过读取X-Forwarded-For头,取出最左边的IP地址来获取客户端的真实IP。由于X-Forwarded-For头是可以被客户端伪造的,攻击者可以在发送请求时,手动添加伪造的X-Forwarded-For头。由于每层代理服务器在转发请求时只是简单地追加IP地址,而不是覆盖该头,因此最终到达应用服务器时,获取到的X-Forwarded-For头的最左边第一个IP很可能并不是客户端的真实IP,而是伪造IP地址。即使存在伪造 IP,这种方法也能识别出真实 IP
墨者学院-X-Forwarded-For注入漏洞实战
weixin_42939822的博客
03-27 6523
墨者学院-X-Forwarded-For注入漏洞实战
一文读懂 XFF 字段原理、漏洞与防范
最新发布
ICT系统集成阿祥
05-30 723
它诞生的初衷是充满善意的,旨在当客户端通过代理服务器访问网站时,代理服务器能够在请求头中添加 X - Forwarded - For 字段,并将客户端的真实 IP 地址填入其中,这样后端服务器就能清晰知晓真正发起请求的客户端是谁。最终,黑客获取了大量客户的账户信息,包括敏感的资金数据和个人身份信息。倘若后端服务器没有对这个字段进行严格的验证和处理,就如同在自家门口随意接纳不明身份的访客,可能会根据伪造IP 地址做出错误的判断,比如给予非法访问权限、记录错误的用户行为等,进而导致安全漏洞。
利用X-Forwarded-For伪造客户端IP漏洞成因及防范
热门推荐
叉叉哥的BLOG
10-15 7万+
问题背景 在Web应用开发中,经常会需要获取客户端IP地址。一个典型的例子就是投票系统,为了防止刷票,需要限制每个IP地址只能投票一次。 如何获取客户端IPJava中,获取客户端IP最直接的方式就是使用request.getRemoteAddr()。这种方式能获取到连接服务器的客户端IP,在中间没有代理的情况下,的确是最简单有效的方式。但是目前互联网Web应用很少会将应用服务器直接对外提...
X-Forwarded-For伪造
m0_48867141的博客
03-14 3768
HTTP请求头中的X-Forwarded-For用来追踪请求的来源IP 应用案例:投票系统,防止刷票,需要限制一个IP只能投票一次 X-Forwarder-For 格式为 X-Forwarded-For: client1, proxy1, proxy2 X-Forwarder-For 包含多个IP地址,每个值通过逗号+空格分开,最左边(client1)是最原始客户端IP地址,中间如果有多层代理,每一层代理会将连接它的客户端IP追加在X-Forwarded-For右边。 如果一个 HTT...
伪造 X-Forwarded-For
intel80586
05-09 3万+
背景 应同学的要求,帮忙刷票。我上去看了一下,对方网站做了IP限制,一天之内一个IP只能投一票,并没有使用cookie校验,验证码校验等技术,总体来说这个网站的情况是比较常见的,常见的解决办法有两个: 使用大量的真实IP刷票 如果你使用的是一个拨号上网的网络,每次的拨号都能随机分配IP,这种情况下,可以使用投票一次,拨号一次的方法来实现刷票,但这个方案有两个问题: 1. 编程稍微复杂,
python伪造请求头x-forwarded-for的作用_利用X-Forwarded-For伪造客户端IP漏洞成因及防范...
weixin_39984403的博客
12-22 973
问题背景在Web应用开发中,经常会需要获取客户端IP地址。一个典型的例子就是投票系统,为了防止刷票,需要限制每个IP地址只能投票一次。如何获取客户端IPJava中,获取客户端IP最直接的方式就是使用request.getRemoteAddr()。这种方式能获取到连接服务器的客户端IP,在中间没有代理的情况下,的确是最简单有效的方式。但是目前互联网Web应用很少会将应用服务器直接对外提供服务,一般...
防止X-Forwarded-For伪造客户端IP漏洞,获取真实IP方法
lmmilove的专栏
03-16 2878
在Web应用开发中,经常会需要获取客户端IP地址。一个典型的例子就是投票系统,为了防止刷票,需要限制每个IP地址只能投票一次。 如何获取客户端IP 在PHP中,获取客户端IP最直接的方式就是使用getenv('HTTP_CLIENT_IP')。这种方式能获取到连接服务器的客户端IP,在中间没有代理的情况下,的确是最简单有效的方式。但是现在web一般都会有一层Nginx做反向代理和负载均衡,有的甚至可能有多层代理。在有反向代理的情况下,直接使用getenv('REMOTE_ADDR');获取到的IP地址是N
获取用户Ip地址通用方法与常见安全隐患(HTTP_X_FORWARDED_FOR)
10-27
2. **HTTP_X_FORWARDED_FOR**: 该方法依赖于HTTP协议的X-Forwarded-For头部字段,用于识别经过HTTP代理或负载均衡器后的客户端IP地址。如果请求通过一个或多个代理传递,那么HTTP_X_FORWARDED_FOR头部字段会包含经过...
反向代理服务器x-forwarded-for带的地址不对
07-27
- *3* [利用X-Forwarded-For伪造客户端IP漏洞成因及防范](https://blog.youkuaiyun.com/weixin_39984403/article/details/111856373)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_...
nginx X-Forwarded-For伪造漏洞及防范
LOOPY_Y的博客
02-19 4760
X-Forwarded-For 作为 HTTP 请求的扩展头,在请求的过程中可以被直接的进行修改。本人讲述如何通过nginx的配置进行防范
X-Forwarded-For 客户端 IP 伪造过程及防范
笑忘哭的博客
01-18 9330
最近收到一条安全漏洞报告,通过利用代码漏洞,并结合HTTP扩展请求头 X-Forwarded-For 可以对客户端IP进行伪造,以达到非法目的。下面我将对这个漏洞进行介绍。 X-Forwarded-For 介绍 X-Forwarded-For 是一个 HTTP 扩展头部,用来表示HTTP请求端真实 IP,HTTP/1.1 协议并没有对它的定义,但现如今X-Forwarded-For已被各大 HTTP 代理、负载均衡等转发服务广泛使用。 X-Forwarded-For 请求头格式: X-Forwarded-
WEB安全-伪造X-Forwarded-For绕过服务器IP地址过滤
06-01 2万+
转自:http://www.jianshu.com/p/98c08956183d 在正常的TCP/IP 通信中,是可以伪造数据包来源 IP 的,但这会让发送出去的数据包返回到伪造IP上,无法实现正常的通信。 实现TCP/IP层级别的伪造很难,因为很难实现正常的TCP连接;但是在应用层协议HTTP上的实现较容易,通过伪造IP,能欺骗多数服务器应用程序实现通信。对于绕过服务器的IP地址过
解决伪造X-Forwarded-For
qq_28915045的博客
03-07 4778
目前很多Web 应用(例如获取用户所在地区,基于 IP 做访问频率控制,禁止某些IP访问等等),为了获取用户真正的 IP,从 HTTP 请求头中获取 IP地址。这些情况下,必须确保获取到的IP地址是真实可靠的。 经过前面的分析和测试,1.对于直接使用的 Web 应用,必须使用从TCP连接中得到的 Remote Address,才是用户真实的IP;2.对于使用 nginx 反向代理服务器的Web应用,nginx必须使用Remote Address正确配置set Headers,后端服务器则使用nginx传过来
X-Forwarded-For客户端IP获取伪造
weixin_42159569的博客
04-21 1016
背景:我在做一个数据查询系统,有些高敏感数据信息,正常访问项目是无权限查看的。唯一的查看途径就是通过Citrix去访问。这时候就需要通过获取客户端地址(X-Forwarded-For)来判定是否Citrix环境。问题:项目是微前端架构,属于主应用中的一个子应用,前端资源和接口请求走了几层nginx(我的项目无权改配置),所以X-Forwarded-For中会有多个值,判断不够准确。最终方案:最终我们选择了拿到所有的X-Forwarded-For值,看是否包含Citrix的ip解决
python3-requests伪造x-forwarded-for以及解决
thewindkee的博客
01-11 7781
通常,我们的服务器会有一级或者多级的反向代理, 因此我们代码中拿remote_addr会取到最后一级反向代理的ip。为了拿到真实ip,常常会去x-Forward-For中拿用户最后一级代理Ip。但是由于该值是header中的, 直接去取可能取到用户伪造Ip。 x-forwarded-for资料 这一HTTP头一般格式如下: X-Forwarded-For: client1, proxy1...
java防止xff伪造ip
dinghongyu520的博客
05-17 1974
背景 现在大厂的代码都有安全测评,在渗透测试时可能用会使用改变x-forwarded-for的值伪造客服端IP,网上常见的配置nginx解决,但对于有的不使用nginx或使用其他的代理方式,我们就只能从服务端入手。 解决方案 这里可以用到的Tomcat中的RemoteIpValve,实现逻辑如下图 如上图逻辑可知只需改变internalProxies的默认值即可通过request.getRemoteAddr()获取到客服端真实IP 我这里使用的SpringBoot,在yml文件中配置...
Web应用程序漏洞-X-Forwarded-For注入
旺仔Sec&blog
07-20 4405
第二十八步,重新审阅刚刚获取os-shell时的日志,发现sqlmap在网站根目录下放置了一个tmpunjoh.php文件(文件名为随机,请注意),可以用于手动上传文件。可以看到,我们从X-Forwarded-For定义的内容,未经过筛选就执行了SQL语句用于查询该IP地址是否在白名单之内,且。第五步,一分钟后扫描结束,切换至Results标签页,可以看到/admin目录被扫描出来,推测该目录为管理员后台地址。第十六步,在BurpSuite中将X-Forwarded-For的值改为一个单引号(’)尝试。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值