码迷,mamicode.com
首页 > 其他好文 > 详细

服务端如何获取客户端请求IP地址

时间:2019-01-25 21:02:05      阅读:268      评论:0      收藏:0      [点我收藏+]

标签:请求转发   解密   覆盖   client   无法   网络传输   机器   方式   信任   

服务端获取客户端请求IP地址,常见的包括:x-forwarded-for、client-ip等请求头,以及remote_addr参数。

一、remote_addr、x-forwarded-for、client-ip

remote_addr:指的是当前直接请求的客户端IP地址,它存在于tcp请求体中,是http协议传输的时候自动添加,不受请求头header的控制。因此,当客户端与服务器之间不存在任何代理的时候,通过remote_addr获取客户端IP地址是最准确,也是最安全的。

x-forwarded-for,即XFF,是很多代理服务器在请求转发时添加上去的。如果客户端和服务器之间存在代理服务器,那么通过remote_addr获取的IP就是代理服务器的地址,并不是客户端真实的IP地址。因此,需要代理服务器(通常是反向代理服务器)将真实客户端的IP地址转发给服务器,转发时客户端的真实IP地址通常就存在于XFF请求头中。

client-ip同XFF,也是代理服务器添加的用于转发客户端请求的真实IP地址,同样保存与请求头中。

重点:
1.remote_addr无法伪造。

二、nginx配置

当服务器间存在反向代理服务器时,需要在反向代理服务器中转发客户端真实请求IP地址,可以设置x-forwarded-for、client-ip,也可以自定义请求头名称,然后在服务端代码中获取请求头中的该值。需要注意的是,此时必须保证服务器不会绕过代理服务器直接对外提供服务,否则存在IP伪造的风险。

nginx设置方式:

proxy_set_header X-Forward-For $remote_addr;

1.nginx一般设置

(1)在最前端的nginx上设置XFF:

location  ~  ^/static {
proxy_pass  ....;
proxy_set_header X-Forward-For $remote_addr ;

}

$remote_addr是nginx的内置变量,代表了客户端真实(网络传输层)IP。通过此项措施,强行将XFF设置为客户端ip,使客户端无法通过HTTP header伪造IP。

(2)后端所有机器不作任何设置,直接信任并使用前端机器传递过来的XFF值即可。

nginx的realip模块配置:

set_real_ip_from 10.1.10.0/24;
real_ip_header X-Forwarded-For; 

上面的配置是把从 10.1.10这一网段过来的请求全部使用X-Forwarded-For里的头信息作为remote_addr。而nginx里的x_forwarded_for取的就是其中第一个IP。

2.将Nginx架在HAProxy前面做HTTPS代理

HAProxy前面先架台Nginx解密,再转发到HAProxy做负载均衡。这种在Web服务器前面就存在了两个代理,为了能让它获取到真实的客户端IP,需要做以下配置。

(1)Nginx的https代理规则设定:

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

这样会让nginx的https代理增加x_forwarded_for头信息,保存客户的真实IP。

(2)修改HAProxy的配置

option forwarded except 10.1.10.0/24

如果HAProxy收到的请求是由内网传过来的话(https代理服务器),就不会设定x_forwarded_for的值,保证后面的web服务器拿到的就是前面https代理传过来的。

3.CDN的场景

CDN在回源站时,会先添加x_forwarded_for头信息,保存用户的真实IP,而反向代理也会设定这个值,不过不会覆盖,而是把CDN服务器的IP添加到x_forwarded_for的后面,这样x_forwarded_for就有两个值。 Nginx会使用第一个值,即客户的真实IP;而PHP会使用第二个,即CDN的地址。导致PHP获取到错误的IP,可以通过如下配置:

把nginx使用的值(即第一个)传给PHP。

fastcgi_param HTTP_X_FORWARDED_FOR $http_x_forwarded_for;

服务端如何获取客户端请求IP地址

标签:请求转发   解密   覆盖   client   无法   网络传输   机器   方式   信任   

原文地址:https://www.cnblogs.com/amyzhu/p/10321530.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!