全棧系列 | X-Forwarded-For 拿到的就是真實 IP 嗎?
1.故事/事故
文章開始前,我先講一個開發中的小故事,能夠加深一下你們對這個字段的理解。html
前段時間要作一個和風控相關的需求,須要拿到用戶的 IP,開發後灰度了一小部分用戶,測試發現後臺日誌裏灰度的用戶 IP 全是異常的,哪有這麼巧的事情。隨後測試發過來幾個異常 IP:前端
10.148.2.122
10.135.2.38
10.149.12.33
...
複製代碼
一看 IP 特徵我就明白了,這幾個 IP 都是 10 開頭的,屬於 A 類 IP 的私有 IP 範圍(10.0.0.0-10.255.255.255),後端拿到的確定是代理服務器的 IP,而不是用戶的真實 IP。webpack
2.原理
如今有些規模的網站基本都不是單點 Server 了,爲了應對更高的流量和更靈活的架構,應用服務通常都是隱藏在代理服務器以後的,好比說 Nginx。nginx
加入接入層後,咱們就能比較容易的實現多臺服務器的負載均衡和服務升級,固然還有其餘的好處,好比說更好的內容緩存和安全防禦,不過這些不是本文的重點就不展開了。web
網站加入代理服務器後,除了上面的幾個優勢,同時引入了一些新的問題。好比說以前的單點 Server,服務器是能夠直接拿到用戶的 IP 的,加入代理層後,如上圖所示,(應用)原始服務器拿到的是代理服務器的 IP,我前面講的故事的問題就出在這裏。後端
Web 開發這麼成熟的領域,確定是有現成的解決辦法的,那就是 X-Forwarded-For 請求頭。瀏覽器
X-Forwarded-For 是一個事實標準,雖然沒有寫入 HTTP RFC 規範裏,從普及程度上看其實能夠算 HTTP 規範了。緩存
這個標準是這樣定義的,每次代理服務器轉發請求到下一個服務器時,要把代理服務器的 IP 寫入 X-Forwarded-For 中,這樣在最末端的應用服務收到請求時,就會獲得一個 IP 列表:安全
X-Forwarded-For: client, proxy1, proxy2
複製代碼
由於 IP 是一個一個依次 push 進去的,那麼第一個 IP 就是用戶的真實 IP,取來用就行了。性能優化
可是,事實有這麼簡單嗎?
3.攻擊
從安全的角度上考慮,整個系統最不安全的就是人,用戶端都是最好攻破最好僞造的。有些用戶就開始鑽協議的漏洞:X-Forwarded-For 是代理服務器添加的,若是我一開始請求的 Header 頭裏就加了 X-Forwarded-For ,不就騙過服務器了嗎?
1. 首先從客戶端發出請求,帶有 X-Forwarded-For 請求頭,裏面寫一個僞造的 IP:
X-Forwarded-For: fakeIP
複製代碼
2. 服務端第一層代理服務收到請求,發現已經有 X-Forwarded-For,誤把這個請求當成代理服務器,因而向這個字段追加了客戶端的真實 IP:
X-Forwarded-For: fakeIP, client
複製代碼
3. 通過幾層代理後,最終的服務器拿到的 Header 是這樣的:
X-Forwarded-For: fakeIP, client, proxy1, proxy2
複製代碼
要是按照取 X-Forwarded-For 第一個 IP 的思路,你就着了攻擊者的道了,你拿到的是 fakeIP,而不是 client IP。
4.破招
服務端如何破招?上面三個步驟:
- 第一步是客戶端造假,服務器沒法介入
- 第二步是代理服務器,可控,可防範
- 第三步是應用服務器,可控,可防範
第二步的破招我拿 Nginx 服務器舉例。
咱們在最外層的 Nginx 上,對 X-Forwarded-For 的配置以下:
proxy_set_header X-Forwarded-For $remote_addr;
複製代碼
什麼意思呢?就是最外層代理服務器不信任客戶端的 X-Forwarded-For 輸入,直接覆蓋,而不是追加。
非最外層的 Nginx 服務器,咱們配置:
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
複製代碼
$proxy_add_x_forwarded_for 就是追加 IP 的意思。經過這招,就能夠破招用戶端的僞造辦法。
第三步的破招思路也很容易,正常思路咱們是取X-Forwarded-For 最左側的 IP,此次咱們反其道而行之,從右邊數,減去代理服務器的數目,那麼剩下的 IP 裏,最右邊的就是真實 IP。
X-Forwarded-For: fakeIP, client, proxy1, proxy2
複製代碼
好比說咱們已知代理服務有兩層,從右向左數,把 proxy1 和 proxy2 去掉,剩下的 IP 列表最右邊的就是真實 IP。
相關思路和代碼實現可參考 Egg.js 前置代理模式。
5.一句話總結總結
經過 X-Forwarded-For 獲取用戶真實 IP 時,最好不要取第一個 IP,以防止用戶僞造 IP。
文章推薦
本文選自個人長文HTTP 規範中的那些暗坑,想要了解更多可點擊原文查看。
更多推薦:
- webpack 中最易混淆的 5 個知識點,掘金快 800 讚了
- webpack dll 是個什麼東西,看完就能擺脫繁瑣的 dll 配置
- React Native 性能優化指南從渲染層的角度分析了 RN 性能優化的 6 個點,並以圖文形式講解了 FlatList 的實現原理
- Web Scraper——輕量數據爬取利器 介紹了一個小巧的瀏覽器爬蟲插件,能夠實現簡單的數據爬取功能
最後推薦一下個人我的公衆號:「滷蛋實驗室」,平時會分享一些前端技術和數據分析的內容,你們感興趣的話能夠關注一波:
- 1. 你看到的就是真實的嗎?
- 2. 全棧工程師真的全棧嗎?
- 3. ❤Git真的就是Pull和Push嗎?❤
- 4. 幹前端的,拿到30K月薪真的很難嗎?
- 5. 全棧軟件測試工程師真的全棧嗎?
- 6. 你真的理解什麼是全棧開發嗎?
- 7. Nginx 反向代理下拿到客戶端的真實IP
- 8. 緝拿IP衝突以後的「真兇」
- 9. 你看到的阻抗是真的嗎?
- 10. 從Header中X-Forwarded-For獲取的IP必定是真實IP嗎?
- 更多相關文章...
- • IP地址是什麼? - TCP/IP教程
- • C# 堆棧(Stack) - C#教程
- • Docker容器實戰(七) - 容器眼光下的文件系統
- • ☆基於Java Instrument的Agent實現
-
每一个你不满意的现在,都有一个你没有努力的曾经。