67,549
社区成员
发帖
与我相关
我的任务
分享获取客户端IP的安全隐患,及是否有安全的获取代理后的客户真实IP的方式
先贴一个网上普遍写的获取IP的方式:
之前我也一直用的这个方法,但是今天无意中看到一篇文章,才突然意识到这里有一个大的安全问题:
客户端可以通过修改"x-forwarded-for"头,来任意伪造IP地址
进过测试,也确实如此!
而实际上现在网上很多网站几乎都是通过这几个头信息来达到获取被代理后的客户端的真实IP的目的。
所以想问一下,如果要获取被代理后的客户端真实IP,是否有什么更安全的方式?
public static String getClientIP(HttpServletRequest request) {
String ip = request.getHeader("x-forwarded-for");
if(ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
ip = request.getHeader("Proxy-Client-IP");
}
if(ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
ip = request.getHeader("WL-Proxy-Client-IP");
}
if(ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
ip = request.getRemoteAddr();
}
if(ip!=null){
ip = ip.trim().split(",")[0];
if(ip.equals("0:0:0:0:0:0:0:1")) ip = "127.0.0.1";
}
return ip;
}
之前我也一直用的这个方法,但是今天无意中看到一篇文章,才突然意识到这里有一个大的安全问题:
客户端可以通过修改"x-forwarded-for"头,来任意伪造IP地址
进过测试,也确实如此!
而实际上现在网上很多网站几乎都是通过这几个头信息来达到获取被代理后的客户端的真实IP的目的。
所以想问一下,如果要获取被代理后的客户端真实IP,是否有什么更安全的方式?
...全文
请发表友善的回复…
发表回复
