关于在用了 N 层 CDN 之后如何取到用户的真实 IP

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

› NGINX

› NGINX Trac

› 3rd Party Modules

› Security Advisories

› CHANGES

› OpenResty

› ngx_lua

› Tengine

在线学习资源

› NGINX 开发从入门到精通

NGINX Modules

› ngx_echo

这是一个创建于 3785 天前的主题，其中的信息可能已经有所发展或是发生改变。

http://www.bzfshop.net/article/176.html

CDN

用户

真实

13 条回复 • 2014-07-14 20:58:01 +08:00

aru

2014-07-14 10:10:27 +08:00

用户恶意伪造X-Forwarded-For 如何破？

jyhmijack

2014-07-14 10:16:11 +08:00

@aru 最近扫描我们的人都伪造了X-Forwarded-For的

est

2014-07-14 10:19:49 +08:00

@aru 把头改个名字，比如X-Forwarded-For-By-Aru

aru

2014-07-14 10:20:45 +08:00

对，X-Forwarded-For header 不能完全信任。
如果是自建CDN可以通过信任IP列表来解决。使用第三方的，需要通过其他方式来获取真正的IP（如直接到服务器的ajax请求？）。

msg7086

2014-07-14 10:21:29 +08:00

@aru 可以设定白名单的

aru

2014-07-14 10:21:35 +08:00

@est good idea。但是需要cdn厂商支持。网宿、蓝汛都支持自定义x-forwarded-for 名字的

gamexg

2014-07-14 10:29:56 +08:00

攻击者可以轻松的自己加个 X-Forwarded-For 头伪造源地址了。

eslizn

2014-07-14 11:37:22 +08:00

X-Forwarded-For不可以由第一层转发机强行覆盖吗?

itsjoke

2014-07-14 11:38:35 +08:00

apache和IIS之流的是用什么方法来实现呢
求解惑

qq529633582

2014-07-14 11:51:02 +08:00

为什么要强调是IE浏览器呢

a2z

2014-07-14 11:54:52 +08:00

Cloudflare用的是自己的特殊header，并且在cdn入口服务器会被强行覆盖。

tywtyw2002

2014-07-14 12:52:19 +08:00 via iPhone

不是xreal 用作cdn吗

x forwarding 精彩伪造

mckelvin

2014-07-14 20:58:01 +08:00 via Android

惊讶地发现Wikipedia上X-Forwarded-For糟糕的中文翻译是我翻的！用户自己可能有主动代理，服务器又有反向代理。如果假设用户主动代理比例很少，想到一种防御策略是让第一层反向代理(文中的360)丢掉XFF头，传给之后的服务器时XFF头里填第一层获取到的用户的REMOTE_ADDR。