HTTP协议中的X-Real-IP, X-Forwarded-For和remote_addr头

马谦马谦马谦 2018年1月17日22:53:35 发表评论
文章最后编辑于:2018-1-17 22:55:25

一、概述

X-Forwarded-For, X-Real-IP, remote_addr是http协议中用来表示客户端地址的请求头。

X-Forwarded-ForX-Real-IP只有请求存在代理时才有值,而remote_addr一直存在。

  • X-Forwarded-For:记录代理服务器的地址,每经过一个代理,该字段会加上一个记录。格式形如:1.1.1.1, 2.2.2.2
  • X-Real-IP:也是用来记录服务器的地址,但是和上面的不同,它不把记录添加到结尾,而是直接替换
  • remote_addr:上一个客户端连接的地址,不存在代理就表示客户端的地址,存在代理就表示最后一个代理服务器的地址

以下使用三个nginx服务器来测试以上三个请求头在不同条件组合下的值

本机地址:192.168.234.1

server1: https://192.168.234.13

server2: https://192.168.234.128

server3: https://test.vazd.xyz

server1的代理配置

server2的代理配置

server3为web服务端

日志格式test分别打印出三个请求头的内容:

在不使用代理直接访问https://test.vazd.xyz的情况下日志信息为:

因为不存在代理,所以前面两个值是不存在的。而server3是公网地址,记录的remote_addr是本机公网地址223.73.59.254

二、请求说明

X-Forwarded-For就像是vector中的push_back,每经过一个代理服务器就把该请求的来源地址加在记录的后面(由于是记录来源地址,所以该字段不会保存最后一个代理服务器的地址)。

在本机访问server1,请求会被转发到server3,此时server3的日志为:

X-Forwarded-For192.168.234.1, 192.168.234.128,说明经过了两次转发,但并没有记录server2的地址。

X-Real-IP会替换代理服务器的地址,请求头会在经过server2时被设置位server1的地址。

三、不记录转发请求

如果把server2proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;注释掉,即server2在转发时不添加该请求头,X-Forwarded-For就不会加上server1的地址:

如果再把server2proxy_set_header X-Real-IP $remote_addr;也注释掉,请求在server2时也不会替换X-Real-IP的值。

但是不管怎样,remote_addr是永远不会变的,它永远都是上一个请求客户端的地址,也就是server2的地址。

四、伪造请求头

请求头是可以伪造的,如果客户端伪造了请求头地址,X-Forwarded-ForX-Real-IP将会收到影响。

收到的日志信息:

tips:对于X-Real-IP来说,如果存在一级以上的代理,它也不会收到影响,因为每经过一次代理,它就会被覆盖

remote_addr这个地址不管怎样伪造都是无用的:

因为remote_addr字段不是通过请求头来决定的,而是服务端在建立tcp连接时获取的的客户端地址。

本文共执行40次查询,耗时0.275秒!
马谦马谦马谦

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: