服務端獲取客戶端請求IP地址峦阁,常見的包括:x-forwarded-for骂倘、client-ip等請求頭鞍盗,以及remote_addr參數(shù)桐臊。
一、remote_addr遏佣、x-forwarded-for捉貌、client-ip
remote_addr:指的是當前直接請求的客戶端IP地址昔穴,它存在于tcp請求體中霹菊,是http協(xié)議傳輸?shù)臅r候自動添加剧蚣,不受請求頭header的控制。因此旋廷,當客戶端與服務器之間不存在任何代理的時候券敌,通過remote_addr獲取客戶端IP地址是最準確,也是最安全的柳洋。
x-forwarded-for,即XFF叹坦,是很多代理服務器在請求轉發(fā)時添加上去的熊镣。如果客戶端和服務器之間存在代理服務器,那么通過remote_addr獲取的IP就是代理服務器的地址募书,并不是客戶端真實的IP地址绪囱。因此,需要代理服務器(通常是反向代理服務器)將真實客戶端的IP地址轉發(fā)給服務器莹捡,轉發(fā)時客戶端的真實IP地址通常就存在于XFF請求頭中鬼吵。
client-ip同XFF,也是代理服務器添加的用于轉發(fā)客戶端請求的真實IP地址篮赢,同樣保存與請求頭中齿椅。
重點:
1.remote_addr無法偽造。
二启泣、nginx配置
當服務器間存在反向代理服務器時涣脚,需要在反向代理服務器中轉發(fā)客戶端真實請求IP地址,可以設置x-forwarded-for寥茫、client-ip遣蚀,也可以自定義請求頭名稱,然后在服務端代碼中獲取請求頭中的該值。需要注意的是芭梯,此時必須保證服務器不會繞過代理服務器直接對外提供服務险耀,否則存在IP偽造的風險。
nginx設置方式:
proxy_set_header X-Forward-For $remote_addr;
1.nginx一般設置
(1)在最前端的nginx上設置XFF:
location ~ ^/static {
proxy_pass ....;
proxy_set_header X-Forward-For $remote_addr ;
}
$remote_addr是nginx的內置變量玖喘,代表了客戶端真實(網(wǎng)絡傳輸層)IP甩牺。通過此項措施,強行將XFF設置為客戶端ip芒涡,使客戶端無法通過HTTP header偽造IP柴灯。
(2)后端所有機器不作任何設置,直接信任并使用前端機器傳遞過來的XFF值即可费尽。
nginx的realip模塊配置:
set_real_ip_from 10.1.10.0/24;
real_ip_header X-Forwarded-For;
上面的配置是把從 10.1.10這一網(wǎng)段過來的請求全部使用X-Forwarded-For里的頭信息作為remote_addr赠群。而nginx里的x_forwarded_for取的就是其中第一個IP。
2.將Nginx架在HAProxy前面做HTTPS代理
HAProxy前面先架臺Nginx解密旱幼,再轉發(fā)到HAProxy做負載均衡查描。這種在Web服務器前面就存在了兩個代理,為了能讓它獲取到真實的客戶端IP柏卤,需要做以下配置冬三。
(1)Nginx的https代理規(guī)則設定:
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
這樣會讓nginx的https代理增加x_forwarded_for頭信息,保存客戶的真實IP缘缚。
(2)修改HAProxy的配置
option forwarded except 10.1.10.0/24
如果HAProxy收到的請求是由內網(wǎng)傳過來的話(https代理服務器)勾笆,就不會設定x_forwarded_for的值,保證后面的web服務器拿到的就是前面https代理傳過來的桥滨。
3.CDN的場景
CDN在回源站時窝爪,會先添加x_forwarded_for頭信息,保存用戶的真實IP齐媒,而反向代理也會設定這個值蒲每,不過不會覆蓋,而是把CDN服務器的IP添加到x_forwarded_for的后面喻括,這樣x_forwarded_for就有兩個值邀杏。 Nginx會使用第一個值,即客戶的真實IP唬血;而PHP會使用第二個望蜡,即CDN的地址。導致PHP獲取到錯誤的IP刁品,可以通過如下配置:
把nginx使用的值(即第一個)傳給PHP泣特。
fastcgi_param HTTP_X_FORWARDED_FOR $http_x_forwarded_for;