网上常见nginx配置ip请求头

  proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

风险: 用户可以通过自己设置请求头来伪造ip,比如用户在发起http请求是自己测试请求头x-forwarded-for:192.168.0.151。那么服务器通过x-forwarded-for获取到的第一个ip就是用户伪造的ip。

  防止伪造方案:

  情况1: 在只有1层nginx代理的情况下,设置nginx配置“proxy_set_header X-Forwarded-For $remote_addr;”。(此时$remote_addr获取的是用户的真是ip)

  情况2:在有多层反向代理的情况下,

                           1)设置“最外层”nginx配置和情况1一样“proxy_set_header X-Forwarded-For $remote_addr;”。

                           2)除了“最外层”之外的nginx配置“proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;”。

  这样就防止了用户通过伪造请求头来伪造真实ip。后台只需要从x-forwarded-for请求头中取出第一个ip就是用户的真实ip。后面如果有多个ip,就是反向代理的ip

 

 

同理:X-Real-IP也差不多。

     不同的是当只有1层nginx代理情况下只需配置“proxy_set_header X-Real-IP $remote_addr;”即可。

     当有多层反向代理时,只在最外层代理设置“proxy_set_header X-Real-IP $remote_addr;”,如果在非最外层设置,则获取到的是反向代理机器的ip

 

附上代码:

 

 

    public static String getIpAddress(HttpServletRequest request) {
        // 从Nginx中x-forwarded-for获取真实ip
        String ipAddress = request.getHeader("X-Forwarded-For");
        if (ipAddress != null && ipAddress.length() > 0 && !"unknown".equalsIgnoreCase(ipAddress)) {
            // 对于通过多个代理的情况,第一个IP为客户端真实IP,多个IP按照','分割

            int index = ipAddress.indexOf(",");
            if (index > 0) {
                ipAddress = ipAddress.substring(0, index).trim();
            }
            return ipAddress;
        }
        // 从Nginx中X-Real-IP获取真实ip
        ipAddress = request.getHeader("X-Real-IP");
        if (ipAddress != null && ipAddress.length() > 0 && !"unknown".equalsIgnoreCase(ipAddress)) {
            return ipAddress;
        }


        ipAddress = request.getRemoteAddr();
        // if ("127.0.0.1".equals(ipAddress) ||
        // "0:0:0:0:0:0:0:1".equals(ipAddress)) {
        // // 根据网卡取本机配置的IP
        // ipAddress = InetAddress.getLocalHost().getHostAddress();
        // }
        return ipAddress;

    }