摘要:但是在通過(guò)了���,等反向代理軟件就不能獲取到客戶端的真實(shí)地址了�。下面是一個(gè)參考獲取客戶端地址的方法如果使用的是連接池�����,可以參考使用方法����,但這個(gè)是經(jīng)過(guò)多級(jí)代理的地址,需要自己處理下獲取第一個(gè)��。
在JSP里�,獲取客戶端的IP地址的方法是:request.getRemoteAddr(),這種方法在大部分情況下都是有效的�����。但是在通過(guò)了Apache,Squid等反向代理軟件就不能獲取到客戶端的真實(shí)IP地址了�。
如果使用了反向代理軟件,將http://192.168.1.110:2046/的URL反向代理為http://www.abc.com/的URL時(shí)����,用request.getRemoteAddr()方法獲取的IP地址是:127.0.0.1或192.168.1.110,而并不是客戶端的真實(shí)IP��。
經(jīng)過(guò)代理以后��,由于在客戶端和服務(wù)之間增加了中間層����,因此服務(wù)器無(wú)法直接拿到客戶端的IP,服務(wù)器端應(yīng)用也無(wú)法直接通過(guò)轉(zhuǎn)發(fā)請(qǐng)求的地址返回給客戶端����。但是在轉(zhuǎn)發(fā)請(qǐng)求的HTTP頭信息中,增加了X-FORWARDED-FOR信息�����。用以跟蹤原有的客戶端IP地址和原來(lái)客戶端請(qǐng)求的服務(wù)器地址��。
當(dāng)我們?cè)L問(wèn)http://www.abc.com/index.jsp/時(shí)���,其實(shí)并不是我們?yōu)g覽器真正訪問(wèn)到了服務(wù)器上的index.jsp文件�����,而是先由代理服務(wù)器去訪問(wèn)http://192.168.1.110:2046/index.jsp����,代理服務(wù)器再將訪問(wèn)到的結(jié)果返回給我們的瀏覽器���,因?yàn)槭谴矸?wù)器去訪問(wèn)index.jsp的�����,所以index.jsp中通過(guò)request.getRemoteAddr()的方法獲取的IP實(shí)際上是代理服務(wù)器的地址�,并不是客戶端的IP地址�����。
外界流傳的JAVA/PHP服務(wù)器端獲取客戶端IP都是這么取的:
偽代碼:
1)ip = request.getHeader("X-FORWARDED-FOR ")
2)如果該值為空或數(shù)組長(zhǎng)度為0或等于"unknown"��,那么:
ip = request.getHeader("Proxy-Client-IP")
3)如果該值為空或數(shù)組長(zhǎng)度為0或等于"unknown"��,那么:
ip = request.getHeader("WL-Proxy-Client-IP")
4)如果該值為空或數(shù)組長(zhǎng)度為0或等于"unknown"��,那么:
ip = request.getHeader("HTTP_CLIENT_IP")
5)如果該值為空或數(shù)組長(zhǎng)度為0或等于"unknown",那么:
ip = request.getHeader("X-Real-IP")
6)如果該值為空或數(shù)組長(zhǎng)度為0或等于"unknown"�,那么:
ip = request.getRemoteAddr ()
先說(shuō)說(shuō)這些請(qǐng)求頭的意思
X-Forwarded-For
這是一個(gè) Squid 開發(fā)的字段,只有在通過(guò)了HTTP代理或者負(fù)載均衡服務(wù)器時(shí)才會(huì)添加該項(xiàng)��。
格式為X-Forwarded-For:client1,proxy1,proxy2���,一般情況下�����,第一個(gè)ip為客戶端真實(shí)ip�����,后面的為經(jīng)過(guò)的代理服務(wù)器ip?���,F(xiàn)在大部分的代理都會(huì)加上這個(gè)請(qǐng)求頭����。
Proxy-Client-IP/WL- Proxy-Client-IP
這個(gè)一般是經(jīng)過(guò)apache http服務(wù)器的請(qǐng)求才會(huì)有,用apache http做代理時(shí)一般會(huì)加上Proxy-Client-IP請(qǐng)求頭�,而WL-Proxy-Client-IP是他的weblogic插件加上的頭。
HTTP_CLIENT_IP
有些代理服務(wù)器會(huì)加上此請(qǐng)求頭。
X-Real-IP
nginx代理一般會(huì)加上此請(qǐng)求頭��。
下面是一個(gè)參考獲取客戶端IP地址的方法:
public static String getIpAddress(HttpServletRequest request) {
String ip = request.getHeader("x-forwarded-for");
if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
ip = request.getHeader("Proxy-Client-IP");
}
if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
ip = request.getHeader("WL-Proxy-Client-IP");
}
if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
ip = request.getRemoteAddr();
}
if (ip.contains(",")) {
return ip.split(",")[0];
} else {
return ip;
}
}
如果使用的是Druid連接池�,可以參考使用:com.alibaba.druid.util.DruidWebUtils#getRemoteAddr方法,但這個(gè)是經(jīng)過(guò)多級(jí)代理的IP地址�����,需要自己處理下獲取第一個(gè)��。
有幾點(diǎn)要注意
這些請(qǐng)求頭都不是http協(xié)議里的標(biāo)準(zhǔn)請(qǐng)求頭����,也就是說(shuō)這個(gè)是各個(gè)代理服務(wù)器自己規(guī)定的表示客戶端地址的請(qǐng)求頭。如果哪天有一個(gè)代理服務(wù)器軟件用oooo-client-ip這個(gè)請(qǐng)求頭代表客戶端請(qǐng)求�����,那上面的代碼就不行了�����。
這些請(qǐng)求頭不是代理服務(wù)器一定會(huì)帶上的��,網(wǎng)絡(luò)上的很多匿名代理就沒(méi)有這些請(qǐng)求頭����,所以獲取到的客戶端ip不一定是真實(shí)的客戶端ip。代理服務(wù)器一般都可以自定義請(qǐng)求頭設(shè)置�。
即使請(qǐng)求經(jīng)過(guò)的代理都會(huì)按自己的規(guī)范附上代理請(qǐng)求頭,上面的代碼也不能確保獲得的一定是客戶端ip�����。不同的網(wǎng)絡(luò)架構(gòu)���,判斷請(qǐng)求頭的順序是不一樣的。
最重要的一點(diǎn)����,請(qǐng)求頭都是可以偽造的。如果一些對(duì)客戶端校驗(yàn)較嚴(yán)格的應(yīng)用(比如投票)要獲取客戶端ip��,應(yīng)該直接使用ip=request.getRemoteAddr()�,雖然獲取到的可能是代理的ip而不是客戶端的ip,但這個(gè)獲取到的ip基本上是不可能偽造的�,也就杜絕了刷票的可能。(有分析說(shuō)arp欺騙+syn有可能偽造此ip�����,如果真的可以,這是所有基于TCP協(xié)議都存在的漏洞)��,這個(gè)ip是tcp連接里的ip。
參考
http://blog.csdn.net/sgx42502...
http://blog.csdn.net/fengwind...
推薦:成為架構(gòu)師的十階段學(xué)習(xí)資料
推薦:Spring Boot & Cloud 最強(qiáng)技術(shù)教程
如果對(duì)你有用�����,歡迎分享到朋友圈
文章版權(quán)歸作者所有����,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為��,您可以聯(lián)系管理員刪除����。
轉(zhuǎn)載請(qǐng)注明本文地址:http://systransis.cn/yun/71372.html
