HTTP 协议中的 X-Real-IP, X-Forwarded-For 和 remote_addr 头

马谦马谦马谦 计算机网络1 15,185字数 1706阅读 5 分 41 秒阅读模式

一、概述

X-Forwarded-For, X-Real-IP, remote_addr 是 http 协议中用来表示客户端地址的请求头。

X-Forwarded-ForX-Real-IP 只有请求存在代理时才有值,而 remote_addr 一直存在。

  • X-Forwarded-For:记录代理服务器的地址,每经过一个代理,该字段会加上一个记录。格式形如:1.1.1.1, 2.2.2.2
  • X-Real-IP:也是用来记录服务器的地址,但是和上面的不同,它不把记录添加到结尾,而是直接替换
  • remote_addr:上一个客户端连接的地址,不存在代理就表示客户端的地址,存在代理就表示最后一个代理服务器的地址

以下使用三个 nginx 服务器来测试以上三个请求头在不同条件组合下的值

本机地址:192.168.234.1

server1: https://192.168.234.13

server2: https://192.168.234.128

server3: https://test.vazd.xyz

server1 的代理配置

server2 的代理配置

server3 为 web 服务端

日志格式 test 分别打印出三个请求头的内容:

在不使用代理直接访问 https://test.vazd.xyz 的情况下日志信息为:

因为不存在代理,所以前面两个值是不存在的。而 server3 是公网地址,记录的 remote_addr 是本机公网地址 223.73.59.254

二、请求说明

X-Forwarded-For 就像是 vector 中的 push_back,每经过一个代理服务器就把该请求的来源地址加在记录的后面 (由于是记录来源地址,所以该字段不会保存最后一个代理服务器的地址) 。

在本机访问 server1,请求会被转发到 server3,此时 server3 的日志为:

X-Forwarded-For192.168.234.1, 192.168.234.128,说明经过了两次转发,但并没有记录 server2 的地址。

X-Real-IP 会替换代理服务器的地址,请求头会在经过 server2 时被设置位 server1 的地址。

三、不记录转发请求

如果把 server2proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; 注释掉,即 server2 在转发时不添加该请求头,X-Forwarded-For 就不会加上 server1 的地址:

如果再把 server2proxy_set_header X-Real-IP $remote_addr; 也注释掉,请求在 server2 时也不会替换 X-Real-IP 的值。

但是不管怎样,remote_addr 是永远不会变的,它永远都是上一个请求客户端的地址,也就是 server2 的地址。

四、伪造请求头

请求头是可以伪造的,如果客户端伪造了请求头地址,X-Forwarded-ForX-Real-IP 将会收到影响。

收到的日志信息:

tips:对于 X-Real-IP 来说,如果存在一级以上的代理,它也不会收到影响,因为每经过一次代理,它就会被覆盖

remote_addr 这个地址不管怎样伪造都是无用的:

因为 remote_addr 字段不是通过请求头来决定的,而是服务端在建立 tcp 连接时获取的的客户端地址。

 
马谦马谦马谦
  • 本文由 马谦马谦马谦 发表于 2018 年 1 月 17 日 22:53:35
  • 转载请务必保留本文链接:https://www.dyxmq.cn/network/http-x-real-ip-x-forwarded-for-remoteaddr.html
HTTP/2简介 计算机网络

HTTP/2 简介

一、 HTTP/2 概述 HTTP/2 是 HTTP 协议的第二个大版本,相较于 HTTP/1 而言,HTTP/2 的核心观念是 「构建一个更快、更简单以及更强大」 的 web 应用。 HTTP/2 will make ou...
HTTP协议中的keep-alive机制 计算机网络

HTTP 协议中的 keep-alive 机制

一、长连接和短连接 长连接和短链接的概念: 短连接:传输完数据后连接立刻关闭。 长连接:传输完数据后不会立刻关闭连接,下次传输数据继续复用这个连接。 很容易看出,长连接和短连接的主要区别就是连接完成后...
    • 杰斯
      杰斯 0

      X-Real-IP 在客户端直连 WEB 端的时候可以被伪造,但是中间如果经过了一层 nginx 代理伪造就没用了。

    匿名

    发表评论

    匿名网友
    :?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen:
    确定

    拖动滑块以完成验证