服務端獲取客戶端請求IP地址,常見的包括:x-forwarded-for、client-ip等請求頭,以及remote_addr引數。
一、remote_addr、x-forwarded-for、client-ip
remote_addr:指的是當前直接請求的客戶端IP地址,它存在於tcp請求體中,是http協議傳輸的時候自動新增,不受請求頭header的控制。因此,當客戶端與伺服器之間不存在任何代理的時候,通過remote_addr獲取客戶端IP地址是最準確,也是最安全的。
x-forwarded-for,即XFF,是很多代理伺服器在請求轉發時新增上去的。如果客戶端和伺服器之間存在代理伺服器,那麼通過remote_addr獲取的IP就是代理伺服器的地址,並不是客戶端真實的IP地址。因此,需要代理伺服器(通常是反向代理伺服器)將真實客戶端的IP地址轉發給伺服器,轉發時客戶端的真實IP地址通常就存在於XFF請求頭中。
client-ip同XFF,也是代理伺服器新增的用於轉發客戶端請求的真實IP地址,同樣儲存與請求頭中。
重點:
1.remote_addr無法偽造。
二、nginx配置
當伺服器間存在反向代理伺服器時,需要在反向代理伺服器中轉發客戶端真實請求IP地址,可以設定x-forwarded-for、client-ip,也可以自定義請求頭名稱,然後在服務端程式碼中獲取請求頭中的該值。需要注意的是,此時必須保證伺服器不會繞過代理伺服器直接對外提供服務,否則存在IP偽造的風險。
nginx設定方式:
proxy_set_header X-Forward-For $remote_addr;1.nginx一般設定
(1)在最前端的nginx上設定XFF:
location ~ ^/static {
proxy_pass ....;
proxy_set_header X-Forward-For $remote_addr ;
}$remote_addr是nginx的內建變數,代表了客戶端真實(網路傳輸層)IP。通過此項措施,強行將XFF設定為客戶端ip,使客戶端無法通過HTTP header偽造IP。
(2)後端所有機器不作任何設定,直接信任並使用前端機器傳遞過來的XFF值即可。
nginx的realip模組配置:
set_real_ip_from 10.1.10.0/24;
real_ip_header X-Forwarded-For; 上面的配置是把從 10.1.10這一網段過來的請求全部使用X-Forwarded-For裡的頭資訊作為remote_addr。而nginx裡的x_forwarded_for取的就是其中第一個IP。
2.將Nginx架在HAProxy前面做HTTPS代理
HAProxy前面先架臺Nginx解密,再轉發到HAProxy做負載均衡。這種在Web伺服器前面就存在了兩個代理,為了能讓它獲取到真實的客戶端IP,需要做以下配置。
(1)Nginx的https代理規則設定:
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;這樣會讓nginx的https代理增加x_forwarded_for頭資訊,儲存客戶的真實IP。
(2)修改HAProxy的配置
option forwarded except 10.1.10.0/24如果HAProxy收到的請求是由內網傳過來的話(https代理伺服器),就不會設定x_forwarded_for的值,保證後面的web伺服器拿到的就是前面https代理傳過來的。
3.CDN的場景
CDN在回源站時,會先新增x_forwarded_for頭資訊,儲存使用者的真實IP,而反向代理也會設定這個值,不過不會覆蓋,而是把CDN伺服器的IP新增到x_forwarded_for的後面,這樣x_forwarded_for就有兩個值。 Nginx會使用第一個值,即客戶的真實IP;而PHP會使用第二個,即CDN的地址。導致PHP獲取到錯誤的IP,可以通過如下配置:
把nginx使用的值(即第一個)傳給PHP。
fastcgi_param HTTP_X_FORWARDED_FOR $http_x_forwarded_for;