X-Forwarded-For客户端IP伪造及防范

最新推荐文章于 2025-10-19 17:04:58 发布
原创 最新推荐文章于 2025-10-19 17:04:58 发布 · 1.1w 阅读 · 22 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #获取客户端IP #x-forwarded-for #$remote_addr #防止伪造IP

互联网Web应用常通过Nginx做代理和负载均衡,客户端可伪造x - forwarded - for头信息来伪造IP。本文分析了无代理和有Nginx代理两种情况,分别给出Java获取客户端真实IP的方法及代码示例,还介绍了Nginx的相关配置。

    前言:由于互联网Web应用很少会将应用服务器直接对外提供服务,一般都会有一层Nginx做代理和负载均衡,有的甚至可能有多层代理,并且客户端可以通过伪造http请求头信息x-forwarded-for来伪造IP,那么如何防止伪造IP呢?本文分别从有代理(Nginx)和没有代理两种情况分析如何获取客户端的真实IP。
    1. 没有代理
        单纯的web应用,没有做代理的情况下,Java获取客户端真实IP,最简单的方式是request.getRemoteAddr(),此方法能获取TCP连接端客户端真实IP;当然,在没有伪造IP的情况下request.getHeader("x-forwarded-for")也可以获取客户端真实IP,如果客户端伪造请求头信息,比如设置请求头信息"x-forwarded-for:伪造IP",那么通过x-forwarded-for获取的IP为:"伪造IP,真实IP",可通过","解析,获取最后一个IP,即为真实IP,具体代码如下:

    //获取request对象,或者直接来自controller控制层
    RequestAttributes ra = RequestContextHolder.getRequestAttributes();
    ServletRequestAttributes sra = (ServletRequestAttributes) ra;
    HttpServletRequest request = sra.getRequest();
    //客户端TCP连接真实IP
    String ip = request.getRemoteAddr();
    //此方法获取的IP可能包含伪造IP
    String ip = request.getHeader("x-forwarded-for");

    2. Nginx做代理
        在有代理的情况下,由于任何请求首先经过Nginx,故通过request.getRemoteAddr()获取的其实是Nginx的IP,并非真实的客户端IP;此时通过x-forwarded-for获取的IP为:"客户端,代理1,代理2,..."或者"伪造IP,客户端,代理1,代理2,...",故不能获取到准确的客户端IP,此时需要配置Nginx TCP客户端连接的真实IP,通过代理配置获取真实IP,可以通过$remote_addr获取客户端IP,Nginx配置如下:
    location / {
                proxy_set_header        X-Real-IP       $remote_addr;
                proxy_set_header        Host            $host;
                proxy_set_header        X-Forwarded-For $proxy_add_x_forwarded_for;
                ...
            }

    此时获取客户端IP的代码如下:

    RequestAttributes ra = RequestContextHolder.getRequestAttributes();
    ServletRequestAttributes sra = (ServletRequestAttributes) ra;
    HttpServletRequest request = sra.getRequest();
    //客户端真实IP
    String ip = request.getHeader("X-Real-IP");
    

【网络安全】X-Forwarded-For漏洞成因及防范
等风来
11-08 4213
最终,当请求到达Web应用服务器时,可以通过读取X-Forwarded-For头,取出最左边的IP地址来获取客户端的真实IP。由于X-Forwarded-For头是可以被客户端伪造的,攻击者可以在发送请求时,手动添加伪造的X-Forwarded-For头。由于每层代理服务器在转发请求时只是简单地追加IP地址,而不是覆盖该头,因此最终到达应用服务器时,获取到的X-Forwarded-For头的最左边第一个IP很可能并不是客户端的真实IP,而是伪造IP地址。即使存在伪造 IP,这种方法也能识别出真实 IP
如何实时监测分析X-Forwarded-For伪造
NetInside__的博客
05-09 1332
什么是X-Forwarded-For 如果要问当下最走红的应用层协议,当HTTP莫属,一个无状态维护协议,其连接基于TCP,在HTTP协议头部没有IP地址字段。所以,如果要在应用层保存IP地址信息(应用服务器统计访问者信息的主要来源之一),只能通过X-Forwarded-For头部字段来实现。 X-Forwarded-For位于HTTP协议的请求头部,属于HTTP的头部扩展。在HTTP/1.1(R...
php获取客户端IP
ycs_0405的专栏
02-14 318
function get_real_ip() { $ip=FALSE; //客户端IP 或 NONE if(!empty($_SERVER["HTTP_CLIENT_IP"])){ $ip = $_SERVER["HTTP_CLIENT_IP"]; } //多重代理服务器下的客户端真实IP地址(可能伪造),如果没有使用代理,...
详解 HTTP 特殊请求头:X-Forwarded-For 与 X-Real-IP(小白友好版)
最新发布
qq_39866533的博客
10-19 1369
X-Forwarded-For 是由早期 Squid 缓存代理软件提出的自定义 HTTP 头,目的是记录“客户端真实 IP + 请求经过的所有代理服务器 IP”,形成完整的请求链路,让后端服务器能追溯请求的真实来源。X-Real-IP 是另一种常用的自定义 HTTP 头,核心作用是向后端服务器传递“客户端真实 IP”,相比 XFF 的“完整链路”,它更简洁——仅记录一个 IP 地址,适合无需追溯代理链路、仅需真实 IP 的场景。两个头的本质是“反向代理传递真实 IP 的工具”
利用X-Forwarded-For伪造客户端IP漏洞成因及防范
热门推荐
叉叉哥的BLOG
10-15 7万+
问题背景 在Web应用开发中,经常会需要获取客户端IP地址。一个典型的例子就是投票系统,为了防止刷票,需要限制每个IP地址只能投票一次。 如何获取客户端IPJava中,获取客户端IP最直接的方式就是使用request.getRemoteAddr()。这种方式能获取到连接服务器的客户端IP,在中间没有代理的情况下,的确是最简单有效的方式。但是目前互联网Web应用很少会将应用服务器直接对外提...
X-Forwarded-For伪造
m0_48867141的博客
03-14 3953
HTTP请求头中的X-Forwarded-For用来追踪请求的来源IP 应用案例:投票系统,防止刷票,需要限制一个IP只能投票一次 X-Forwarder-For 格式为 X-Forwarded-For: client1, proxy1, proxy2 X-Forwarder-For 包含多个IP地址,每个值通过逗号+空格分开,最左边(client1)是最原始客户端IP地址,中间如果有多层代理,每一层代理会将连接它的客户端IP追加在X-Forwarded-For右边。 如果一个 HTT...
X-Forwarded-For 客户端 IP 伪造过程及防范
笑忘哭的博客
01-18 9787
最近收到一条安全漏洞报告,通过利用代码漏洞,并结合HTTP扩展请求头 X-Forwarded-For 可以对客户端IP进行伪造,以达到非法目的。下面我将对这个漏洞进行介绍。 X-Forwarded-For 介绍 X-Forwarded-For 是一个 HTTP 扩展头部,用来表示HTTP请求端真实 IP,HTTP/1.1 协议并没有对它的定义,但现如今X-Forwarded-For已被各大 HTTP 代理、负载均衡等转发服务广泛使用。 X-Forwarded-For 请求头格式: X-Forwarded-
伪造 X-Forwarded-For
intel80586
05-09 3万+
背景 应同学的要求,帮忙刷票。我上去看了一下,对方网站做了IP限制,一天之内一个IP只能投一票,并没有使用cookie校验,验证码校验等技术,总体来说这个网站的情况是比较常见的,常见的解决办法有两个: 使用大量的真实IP刷票 如果你使用的是一个拨号上网的网络,每次的拨号都能随机分配IP,这种情况下,可以使用投票一次,拨号一次的方法来实现刷票,但这个方案有两个问题: 1. 编程稍微复杂,
python伪造请求头x-forwarded-for的作用_利用X-Forwarded-For伪造客户端IP漏洞成因及防范...
weixin_39984403的博客
12-22 1034
问题背景在Web应用开发中,经常会需要获取客户端IP地址。一个典型的例子就是投票系统,为了防止刷票,需要限制每个IP地址只能投票一次。如何获取客户端IPJava中,获取客户端IP最直接的方式就是使用request.getRemoteAddr()。这种方式能获取到连接服务器的客户端IP,在中间没有代理的情况下,的确是最简单有效的方式。但是目前互联网Web应用很少会将应用服务器直接对外提供服务,一般...
防止X-Forwarded-For伪造客户端IP漏洞,获取真实IP方法
lmmilove的专栏
03-16 3053
在Web应用开发中,经常会需要获取客户端IP地址。一个典型的例子就是投票系统,为了防止刷票,需要限制每个IP地址只能投票一次。 如何获取客户端IP 在PHP中,获取客户端IP最直接的方式就是使用getenv('HTTP_CLIENT_IP')。这种方式能获取到连接服务器的客户端IP,在中间没有代理的情况下,的确是最简单有效的方式。但是现在web一般都会有一层Nginx做反向代理和负载均衡,有的甚至可能有多层代理。在有反向代理的情况下,直接使用getenv('REMOTE_ADDR');获取到的IP地址是N
X-Forwarded-For解析
派大星的不眠博客
07-29 1432
X-Forwarded-For(XFF)是HTTP请求头字段,用于在代理环境下传递客户端真实IP。其格式为"client_ip,proxy1_ip,proxy2_ip...",采用链式结构记录请求经过的各层代理IP。主要应用于负载均衡、CDN/WAF和多层代理场景,使后端服务器能获取原始客户端IP。核心作用包括IP溯源、安全审计、用户行为分析和日志监控。配置时需注意防范IP伪造、隐私泄露和日志污染风险,建议通过可信代理处理XFF字段并采取安全验证措施。合理使用XFF可提升系统安全性和用户
java 伪造http请求ip地址的方法
08-26
主要介绍了java 伪造http请求ip地址的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
墨者学院 X-Forwarded-For注入漏洞实战
crasher123的博客
06-19 2216
SQLMap是一个基于Python编写的工具,因此需要安装Python。可以从Python官方网站下载Python安装包,也可以使用包管理器进行安装。如果Python已经安装,则会显示Python的版本号。请求信息中多加一条X-Forwarded-For:*得到库表名user和login,继续攻击user表。运行后会显示SQLMap的欢迎信息和命令行帮助。得到数据库名称为webcalender,进行扫描。安装burpsuite和sqlmap。2.安装Python。4.运行SQLMap。
nginx X-Forwarded-For伪造漏洞及防范
LOOPY_Y的博客
02-19 5076
X-Forwarded-For 作为 HTTP 请求的扩展头,在请求的过程中可以被直接的进行修改。本人讲述如何通过nginx的配置进行防范
解决伪造X-Forwarded-For
qq_28915045的博客
03-07 4967
目前很多Web 应用(例如获取用户所在地区,基于 IP 做访问频率控制,禁止某些IP访问等等),为了获取用户真正的 IP,从 HTTP 请求头中获取 IP地址。这些情况下,必须确保获取到的IP地址是真实可靠的。 经过前面的分析和测试,1.对于直接使用的 Web 应用,必须使用从TCP连接中得到的 Remote Address,才是用户真实的IP;2.对于使用 nginx 反向代理服务器的Web应用,nginx必须使用Remote Address正确配置set Headers,后端服务器则使用nginx传过来
WEB安全-伪造X-Forwarded-For绕过服务器IP地址过滤
06-01 2万+
转自:http://www.jianshu.com/p/98c08956183d 在正常的TCP/IP 通信中,是可以伪造数据包来源 IP 的,但这会让发送出去的数据包返回到伪造IP上,无法实现正常的通信。 实现TCP/IP层级别的伪造很难,因为很难实现正常的TCP连接;但是在应用层协议HTTP上的实现较容易,通过伪造IP,能欺骗多数服务器应用程序实现通信。对于绕过服务器的IP地址过
X-Forwarded-For客户端IP获取伪造
weixin_42159569的博客
04-21 1088
背景:我在做一个数据查询系统,有些高敏感数据信息,正常访问项目是无权限查看的。唯一的查看途径就是通过Citrix去访问。这时候就需要通过获取客户端地址(X-Forwarded-For)来判定是否Citrix环境。问题:项目是微前端架构,属于主应用中的一个子应用,前端资源和接口请求走了几层nginx(我的项目无权改配置),所以X-Forwarded-For中会有多个值,判断不够准确。最终方案:最终我们选择了拿到所有的X-Forwarded-For值,看是否包含Citrix的ip解决
Web应用程序漏洞-X-Forwarded-For注入
我是网络安全兼技能大赛工程师,专注网络安全技术学习与技能大赛实战!持续分享最新的技术文章,帮你少走弯路,一起在技术赛道上进步~
07-20 4714
第二十八步,重新审阅刚刚获取os-shell时的日志,发现sqlmap在网站根目录下放置了一个tmpunjoh.php文件(文件名为随机,请注意),可以用于手动上传文件。可以看到,我们从X-Forwarded-For定义的内容,未经过筛选就执行了SQL语句用于查询该IP地址是否在白名单之内,且。第五步,一分钟后扫描结束,切换至Results标签页,可以看到/admin目录被扫描出来,推测该目录为管理员后台地址。第十六步,在BurpSuite中将X-Forwarded-For的值改为一个单引号(’)尝试。
反向代理服务器x-forwarded-for带的地址不对
07-27
回答: 反向代理服务器中的X-Forwarded-For字段是用来标识客户端的真实IP地址的。然而,有时候X-Forwarded-For字段中的地址可能不正确。这可能是因为使用了透明代理或者伪造了X-Forwarded-For字段。在透明代理中,X-Forwarded-For字段会被代理服务器自动添加,但是这个字段中的地址可能是代理服务器的地址而不是客户端的真实IP地址。另外,由于X-Forwarded-For字段是可以被伪造的,所以有些恶意用户可能会修改这个字段来隐藏自己的真实IP地址。为了解决这个问题,可以在反向代理服务器中使用$remote_addr获取直接TCP连接的客户端IP地址,这个地址是无法伪造的。\[1\]\[2\]\[3\] #### 引用[.reference_title] - *1* [正向代理与反向代理、跨域问题、X-Forwarded-For、X-Real-IP](https://blog.youkuaiyun.com/weixin_44677487/article/details/110877535)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down28v1,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [X-Forwarded-For注入漏洞实战](https://blog.youkuaiyun.com/weixin_47493074/article/details/126982788)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down28v1,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [利用X-Forwarded-For伪造客户端IP漏洞成因及防范](https://blog.youkuaiyun.com/weixin_39984403/article/details/111856373)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down28v1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值