摘要:但是可以通過偽造數(shù)據(jù)包的來源���,即在請(qǐng)求頭加一個(gè)的頭信息��,這個(gè)頭信息配置的是地址���,它代表客戶端,也就是的請(qǐng)求端真實(shí)的��。因此在上面代碼中加上如下代碼服務(wù)端通過獲取請(qǐng)求��,并且校驗(yàn)安全性,代碼如下總結(jié)通過請(qǐng)求頭追加頭信息可以偽造請(qǐng)求地址��。
最近做接口開發(fā)�,需要跟第三方系統(tǒng)對(duì)接接口,基于第三方系統(tǒng)接口的保密性����,需要將調(diào)用方的請(qǐng)求IP加入到他們的白名單中。由于我們公司平常使用的公網(wǎng)的IP是不固定的��,每次都需要將代碼提交到固定的服務(wù)器上(服務(wù)器IP加入了第三方系統(tǒng)的白名單)�,頻繁的修改提交合并代碼和啟動(dòng)服務(wù)器造成了額外的工作量,給接口聯(lián)調(diào)帶來了很大的阻礙�。
正常的http請(qǐng)求
我們正常發(fā)起一個(gè)http的請(qǐng)求如下:
import org.apache.http.HttpEntity;
import org.apache.http.client.config.RequestConfig;
import org.apache.http.client.methods.CloseableHttpResponse;
import org.apache.http.client.methods.HttpPost;
import org.apache.http.entity.StringEntity;
import org.apache.http.impl.client.CloseableHttpClient;
import org.apache.http.impl.client.HttpClients;
import org.apache.http.util.EntityUtils;
public static String getPost4Json(String url, String json) throws Exception {
CloseableHttpClient httpClient = HttpClients.createDefault();
HttpPost httpPost = new HttpPost(url);
/* 設(shè)置超時(shí) */
RequestConfig defaultRequestConfig = RequestConfig.custom().setSocketTimeout(5000).setConnectTimeout(5000).setConnectionRequestTimeout(5000).build();
httpPost.setConfig(defaultRequestConfig);
httpPost.addHeader("Content-Type", "application/json;charset=UTF-8");
httpPost.setEntity(new StringEntity(json, "UTF-8"));
CloseableHttpResponse response = null;
String result = null;
try {
response = httpClient.execute(httpPost);
HttpEntity entity = response.getEntity();
result = EntityUtils.toString(entity, "UTF-8");
} catch (Exception e) {
throw e;
} finally {
if (response != null) response.close();
httpClient.close();
}
return result;
}
由于沒有加入白名單的原因,這樣的請(qǐng)求顯然無法調(diào)用到第三方的接口�����。這時(shí)候考慮能否將請(qǐng)求的ip改為白名單的一個(gè)ip����,服務(wù)器在解析時(shí)拿到的不是正常的ip,這樣能否正常調(diào)用呢�?
偽造http請(qǐng)求ip地址
我們知道正常的tcp/ip在通信過程中是無法改變?cè)磇p的,也就是說電腦獲取到的請(qǐng)求ip是不能改變的����。但是可以通過偽造數(shù)據(jù)包的來源ip,即在http請(qǐng)求頭加一個(gè)x-forwarded-for的頭信息����,這個(gè)頭信息配置的是ip地址,它代表客戶端��,也就是HTTP的請(qǐng)求端真實(shí)的IP�。因此在上面代碼中加上如下代碼:
httpPost.addHeader("x-forwarded-for",ip);
服務(wù)端通過x-forwarded-for獲取請(qǐng)求ip,并且校驗(yàn)IP安全性����,代碼如下:
String ip = request.getHeader("x-forwarded-for");
總結(jié)
通過請(qǐng)求頭追加x-forwarded-for頭信息可以偽造http請(qǐng)求ip地址。但是若服務(wù)器不直接信任并且不使用傳遞過來的 X-Forward-For 值的時(shí)候偽造IP就不生效了���。
文章版權(quán)歸作者所有�����,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為����,您可以聯(lián)系管理員刪除����。
轉(zhuǎn)載請(qǐng)注明本文地址:http://systransis.cn/yun/77304.html
