关于在用了 N 层 CDN 之后如何取到用户的真实 IP

2014-07-14 09:45:04 +08:00
 Livid
http://www.bzfshop.net/article/176.html
4631 次点击
所在节点    NGINX
13 条回复
aru
2014-07-14 10:10:27 +08:00
用户恶意伪造X-Forwarded-For 如何破?
jyhmijack
2014-07-14 10:16:11 +08:00
@aru 最近扫描我们的人都伪造了X-Forwarded-For的
est
2014-07-14 10:19:49 +08:00
@aru 把头改个名字,比如X-Forwarded-For-By-Aru
aru
2014-07-14 10:20:45 +08:00
对,X-Forwarded-For header 不能完全信任。
如果是自建CDN可以通过信任IP列表来解决。使用第三方的,需要通过其他方式来获取真正的IP(如直接到服务器的ajax请求?)。
msg7086
2014-07-14 10:21:29 +08:00
@aru 可以设定白名单的
aru
2014-07-14 10:21:35 +08:00
@est good idea。但是需要cdn厂商支持。网宿、蓝汛都支持自定义x-forwarded-for 名字的
gamexg
2014-07-14 10:29:56 +08:00
攻击者可以轻松的自己加个 X-Forwarded-For 头伪造源地址了。
eslizn
2014-07-14 11:37:22 +08:00
X-Forwarded-For不可以由第一层转发机强行覆盖吗?
itsjoke
2014-07-14 11:38:35 +08:00
apache和IIS之流的是用什么方法来实现呢
求解惑
qq529633582
2014-07-14 11:51:02 +08:00
为什么要强调是IE浏览器呢
a2z
2014-07-14 11:54:52 +08:00
Cloudflare用的是自己的特殊header,并且在cdn入口服务器会被强行覆盖。
tywtyw2002
2014-07-14 12:52:19 +08:00
不是xreal 用作cdn吗

x forwarding 精彩伪造
mckelvin
2014-07-14 20:58:01 +08:00
惊讶地发现Wikipedia上X-Forwarded-For糟糕的中文翻译是我翻的!用户自己可能有主动代理,服务器又有反向代理。如果假设用户主动代理比例很少,想到一种防御策略是让第一层反向代理(文中的360)丢掉XFF头,传给之后的服务器时XFF头里填第一层获取到的用户的REMOTE_ADDR。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/122504

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX