2. 程式人生 > >HTTP X-Forwarded-For 頭部欄位的應用

HTTP X-Forwarded-For 頭部欄位的應用

阿新 發佈:2019-01-08

【背景】
在運維工作中,經常會遇到X-Forwarded-For 這個欄位,比如nginx、haproxy、快取代理、甚至好點的網路7層網路裝置都可以修改這個欄位,這個欄位對記錄客戶端的真實IP地址非常有用,在分析nginx日誌,haproxy日誌中,經常利用這個欄位統計訪問的來源,並進一步分析問題

常見如下兩個網路結構,從辦公室使用者通過公網訪問一臺webserver服務
HTTP X-Forwarded-For 頭部欄位的應用

這個事例是公司的一個使用者(10.28.81.84)的使用者通過網路出口公網地址是116.247.112.179 訪問 公網地址是110.189.90.120的內部服務。其中經歷了一臺haproxy在代理到一臺nginx web服務。

haproxy增加X-Forwarded-For的設定
option forwardfor :如果伺服器上的應用程式想記錄發起請求的客戶端的IP地址,需要在HAProxy上配置此選項,這樣HAProxy會把客戶端的IP資訊傳送給伺服器,在HTTP請求中新增"X-Forwarded-For"欄位。

X-Forwarded-For:簡稱XFF頭,它代表客戶端,也就是HTTP的請求端真實的IP,只有在通過了HTTP 代理或者負載均衡伺服器時才會新增該項。它不是RFC中定義的標準請求頭資訊,在squid快取代理伺服器開發文件中可以找到該項的詳細介紹。
標準格式如下:
X-Forwarded-For: client1, proxy1, proxy2
從標準格式可以看出,X-Forwarded-For頭資訊可以有多個,中間用逗號分隔,第一項為真實的客戶端ip,剩下的就是曾經經過的代理或負載均衡的ip地址,經過幾個就會出現幾個。

nginx增加X-Forwarded-For的設定

set_real_ip_from 10.0.0.0/8;
real_ip_header X-Forwarded-For;
proxy_redirect off;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

解釋:

如果 set_real_ip_from 設定錯誤可能會導致如下現象(本機IP是 10.10.20.32 容器機IP)
#set_real_ip_from 10.0.0.0/8;
#set_real_ip_from 172.0.0.0/8;
set_real_ip_from 192.168.0.0/16;

real_ip_header X-Forwarded-For;

這兩個指令 來自 HttpRealipModule,表示把來在10.0.0.0/8 段的所有請求的來源地址,都改成 X-Forwarded-For 頭中的最後一個IP,這時候新來源地址會賦給 remote_addr 變數;這裡如果請求頭沒有 X-Forwarded-For 頭 或者頭是不合法IP,Nginx 不會對來源IP進行修改。

使用者訪問
www.xxxxx.com

haproxy日誌格式
%ci\ %si\ %[capture.req.hdr(1)]\
格式解釋:
#HAProxy的日誌記錄內容配置
capture request header Host len 40 # 請求中的主機名
capture request header X-Forwarded-For len 100

日誌格式:
%ci\ %si\ %[capture.req.hdr(1)]\
%ci:client_ip (accepted address) 客戶端IP
%si: server_IP (target address)

日誌:
116.247.112.179 10.10.20.34 -

可以看到haproxy獲取的日誌是
客戶端IP是 116.247.112.179
後端server的IP地址是 10.10.20.34
X-Forwarded-For 為 -

nginx日誌的格式
$request_time $upstream_response_time $remote_addr "$http_x_forwarded_for" - "$server_addr"
日誌內容
0.135 0.135 116.247.112.179 "116.247.112.179" - "172.18.0.4" 0384682027257641

可見:$proxy_add_x_forwarded_for 的值為 116.247.112.179 且 $remote_addr 被賦值成了 116.247.112.179

網路方案二架構:
HTTP X-Forwarded-For 頭部欄位的應用

haproxy日誌:
日誌:
116.247.112.179 10.10.20.34 10.28.81.84
可以看到haproxy獲取的日誌是
客戶端IP是 116.247.112.179
後端server的IP地址是 10.10.20.34
X-Forwarded-For 為 10.28.81.84

疑問? 為啥公司的內網地址都變成 X-Forwarded-For ,因為公司的出口之前的那個代理裝置加上了X-Forwarded-For 將地址客戶的來源地址寫入了 X-Forwarded-For http欄位中去了

nginx日誌
nginx日誌的格式
$request_time $upstream_response_time $remote_addr "$http_x_forwarded_for" - "$server_addr"
日誌內容
0.008 0.008 116.247.112.179 "10.28.81.84, 116.247.112.179" - "172.18.0.4"

可以看出 $http_x_forwarded_for 的值為 10.28.81.84, 116.247.112.179

相關推薦

HTTP X-Forwarded-For 頭部應用

【背景】在運維工作中,經常會遇到X-Forwarded-For 這個欄位,比如nginx、haproxy、快取代理、甚至好點的網路7層網路裝置都可以修改這個欄位,這個欄位對記錄客戶端的真實IP地址非常有用,在分析nginx日誌,haproxy日誌中,經常利用這個欄位統計訪問的來源,並進一步分析問題 常見如下

HTTP X-Forwarded-For 頭部字段的應用

辦公 comm 詳細 type targe 程序 redirect blog 行修改 【背景】在運維工作中,經常會遇到X-Forwarded-For 這個字段,比如nginx、haproxy、緩存代理、甚至好點的網絡7層網絡設備都可以修改這個字段,這個字段對記錄客戶端的真實

http協議中的頭部:Transfer-Encoding

最近專案用到了nginx和php-fpm,所以自己寫了個http客戶端,發現每次使用客戶端傳送請求後,伺服器返回的資料前面都多了一個莫名其妙的16進位制字串,並且頭部資訊中包含Transfer-Encoding:chunked,懷疑和此欄位有關,所以網上google整理了此

【nginx】配置x-forwarded-for 頭部

本地用tomcat起了一個j2ee的應用,然後又起了一個nginx做反向代理。 nginx.conf: #user nobody; worker_processes 1; #error_log logs/error.log; #error_log logs/e

HTTP 請求頭中的 X-Forwarded-ForX-Real-IP

進行 gnu 防止 cal 截取 雲服務器 sta 分配 wow X-Forwarded-For 在使用nginx做反向代理時,我們為了記錄整個的代理過程,我們往往會在配置文件中做如下配置: location / { 省略...

[紙上談兵] http頭部Transfer-Encoding

一個月沒寫,自己定的目標沒有實現,不想寫太水的內容。但這一篇可能又是水 我在排查httpclient問題時,發現了這個請求頭,但不知道是做什麼用的,於是百度一下 一、Transfer-Encoding: chunked Transfer-Encoding頭欄位可以用在請求頭或響應頭中。

X-Forwarded-For】WEB修改訪客IP

識別 int urn 開發 user p地址 連接 通過 light X-Forwarded-For(XFF)是用來識別通過HTTP代理或負載均衡方式連接到Web服務器的客戶端最原始的IP地址的HTTP請求頭字段。 Squid 緩存代理服務器的開發人員最早引入了這一HTTP

使用X-Forwarded-For字段修改報文請求ip

html code log http shadow tro ado 8.0 agen (1)訪問的原始網頁顯示,只要求127.0.0.1ip訪問(2)獲取的完整報文請求為 (3)我們將其修改,加上x-forworded-for字段 GET /from.php HTTP/1.

X-Forwarded-For偽造及防禦

logs 管理 address _for mar 地址 real 代理服務 ip訪問 使用x-Forward_for插件或者burpsuit可以改包,偽造任意的IP地址,使一些管理員後臺繞過對IP地址限制的訪問。 防護策略: 1.對於直接使用的 Web 應用,必須使用從TC

haproxy nginx X-Forwarded-For的值

toc AR 將不 註釋 寫入 IE 不同 pro except client(web 瀏覽器) ----> haproxy(acl backend)----> nginx (proxy_pass)----> java程序地址如下:1.1.1.1

X-Forwarded-For(XFF頭)

X-Forwarded-For:簡稱XFF頭,它代表客戶端,也就是HTTP的請求端真實的IP,只有在通過了HTTP 代理或者負載均衡伺服器時才會新增該項。它不是RFC中定義的標準請求頭資訊,在squid快取代理伺服器開發文件中可以找到該項的詳細介紹。標準格式如下:X-Forwarded-For:

[Err] 1067 - Invalid default value for '名'

問題 :將sql檔案匯入資料庫中出現異常‘ERROR 1067: Invalid default value for 欄位’ 原因:匯出的sql檔案中有一張表中的欄位預設值為“0000-00-00 00:00:00”, 根本原因是 SQL_MODE 設定值的問題 解決方法

Nginx 之 X-Forwarded-For 中首個IP一定真實嗎?

歡迎訪問陳同學部落格原文 使用 Nginx 基於客戶端IP進行限流時,需在代理中拿到客戶端真實IP。獲取IP方式有多種,如利用 remote_addr、X-Real-IP、X-Forwarded-For等。 以前看到一些專案通過獲取 X-Forwarded-

X-Forwarded-For的一些理解

X-Forwarded-For 是一個 HTTP 擴充套件頭部,主要是為了讓 Web 伺服器獲取訪問使用者的真實 IP 地址(其實這個真實未必是真實的,後面會說到)。 那為什麼 Web 伺服器只有通過 X-Forwarded-For 頭才能獲取真實的 IP? 這裡用 PHP 語言來說明,不明白原

X-Forwarded-For

    最近在專案對外聯調過程中,發現了關於XFF的問題,這裡簡單介紹下,大部分是貼維基百科中的詞條:https://zh.wikipedia.org/wiki/X-Forwarded-For     專案場

Http協議請求和響應

瀏覽器請求頭: 例如: GET /quality.php 請求行processID=ja_7_1595971763&vid=89625156&uid=0&pid=1&plid=4006&totalSize=&firstSize=null&firstTim

Lucene 7.x中根據Field值進行排序的小例子

Lucene 7中對DocValues系列的API做了一些改動 本帖就是說明一下API的變化 本帖的例子是將一些圖書資訊寫入索引 然後搜尋的時候按照圖書出版時間的倒敘排序 先來看寫入文件的程式碼: Directory dir=FSDirectory.open

HTTP請求頭中各解釋

Accept : 瀏覽器(或者其他基於HTTP的客戶端程式)可以接收的內容型別(Content-types),例如 Accept: text/plain Accept-Charset:瀏覽器能識別的字符集,例如 Accept-Charset: utf-8 Accept-Encoding:瀏覽器可

mysql錯誤 Out of range value for column '' at row 1

問題原因:   在sql資料庫中匯入出現的錯誤。 解決方法:   欄位的值超過其可輸入的範圍了,就像int(10),但是匯入的資料中有超出範圍的,可以把欄位的型別改一下,比如改成b

Tomcat Access Log記錄X-Forwarded-For

在實際使用中,使用F5或LVS為tomcat做負載均衡時,由於做了反向代理,tomcat記錄的Aceess Log中,會將客戶端ip記錄為F5或lvs的ip,導致無法正常記錄訪問者的真實ip資訊. Tomcat配置中,可以通過修改AceessLogValve/Extende