X-Forwarded-For客户端IP伪造及防范

互联网Web应用常通过Nginx做代理和负载均衡,客户端可伪造x - forwarded - for头信息来伪造IP。本文分析了无代理和有Nginx代理两种情况,分别给出Java获取客户端真实IP的方法及代码示例,还介绍了Nginx的相关配置。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

    前言:由于互联网Web应用很少会将应用服务器直接对外提供服务,一般都会有一层Nginx做代理和负载均衡,有的甚至可能有多层代理,并且客户端可以通过伪造http请求头信息x-forwarded-for来伪造IP,那么如何防止伪造IP呢?本文分别从有代理(Nginx)和没有代理两种情况分析如何获取客户端的真实IP。
    1. 没有代理
        单纯的web应用,没有做代理的情况下,Java获取客户端真实IP,最简单的方式是request.getRemoteAddr(),此方法能获取TCP连接端客户端真实IP;当然,在没有伪造IP的情况下request.getHeader("x-forwarded-for")也可以获取客户端真实IP,如果客户端伪造请求头信息,比如设置请求头信息"x-forwarded-for:伪造IP",那么通过x-forwarded-for获取的IP为:"伪造IP,真实IP",可通过","解析,获取最后一个IP,即为真实IP,具体代码如下:

    //获取request对象,或者直接来自controller控制层
    RequestAttributes ra = RequestContextHolder.getRequestAttributes();
    ServletRequestAttributes sra = (ServletRequestAttributes) ra;
    HttpServletRequest request = sra.getRequest();
    //客户端TCP连接真实IP
    String ip = request.getRemoteAddr();
    //此方法获取的IP可能包含伪造IP
    String ip = request.getHeader("x-forwarded-for");

    2. Nginx做代理
        在有代理的情况下,由于任何请求首先经过Nginx,故通过request.getRemoteAddr()获取的其实是Nginx的IP,并非真实的客户端IP;此时通过x-forwarded-for获取的IP为:"客户端,代理1,代理2,..."或者"伪造IP,客户端,代理1,代理2,...",故不能获取到准确的客户端IP,此时需要配置Nginx TCP客户端连接的真实IP,通过代理配置获取真实IP,可以通过$remote_addr获取客户端IP,Nginx配置如下:
    location / {
                proxy_set_header        X-Real-IP       $remote_addr;
                proxy_set_header        Host            $host;
                proxy_set_header        X-Forwarded-For $proxy_add_x_forwarded_for;
                ...
            }

    此时获取客户端IP的代码如下:

    RequestAttributes ra = RequestContextHolder.getRequestAttributes();
    ServletRequestAttributes sra = (ServletRequestAttributes) ra;
    HttpServletRequest request = sra.getRequest();
    //客户端真实IP
    String ip = request.getHeader("X-Real-IP");
    

### Spring Boot 中处理 X-Forwarded-For 头的最佳实践 为了有效防止或检测 IP 伪造,在 Spring Boot 应用程序中配置 `X-For` 头是一个重要的安全措施。以下是几种最佳实践方法: #### 配置 Reverse Proxy 地址信任列表 当应用程序位于反向代理之后时,确保只信任来自特定代理服务器的请求非常重要。可以通过设置 `server.forward-headers-strategy=framework` 来启用框架级别的转发头解析功能[^1]。 ```yaml server: forward-headers-strategy: framework ``` 这会使得 Spring Security 和其他组件能够自动识别并正确处理由受信代理传递过来的真实客户端 IP 地址。 #### 使用自定义过滤器验证 XFF Header 创建一个专门用于校验 `X-Forwarded-For` 的 Servlet 过滤器可以帮助进一步增强安全性。该过滤器可以在每次 HTTP 请求到达应用之前对其进行检查,并拒绝任何不符合预期模式的数据包。 ```java import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.ServletException; import javax.servlet.ServletRequest; import javax.servlet.ServletResponse; public class XffValidationFilter implements Filter { @Override public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { HttpServletRequest httpRequest = (HttpServletRequest) request; String forwardedForHeader = httpRequest.getHeader("X-Forwarded-For"); if (!isValidIp(forwardedForHeader)) { HttpServletResponse httpResponse = (HttpServletResponse) response; httpResponse.sendError(HttpServletResponse.SC_FORBIDDEN); return; } chain.doFilter(request, response); } private boolean isValidIp(String ip){ // Implement validation logic here. return true; // Replace this line with actual implementation. } } ``` 此代码片段展示了如何实现基本的 IP 校验逻辑;实际项目中应根据具体需求调整函数内部的具体判断条件。 #### 结合防火墙规则加强防护 除了软件层面的安全机制外,还应该考虑在网络层面上实施额外保护策略。例如,利用云服务提供商提供的 Web Application Firewall(WAF),或者本地部署硬件级设备来阻止恶意流量进入系统边界内。 通过上述多种手段相结合的方式,可以大大降低因 IP 欺骗而导致的风险,从而保障在线业务稳定运行和服务质量不受影响。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值