请教一个后端获取用户真实 IP 的问题

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

这是一个创建于 1971 天前的主题，其中的信息可能已经有所发展或是发生改变。

后端 PHP，想要获取客户端的真实 IP。网上查阅资料，可以通过 remote_addr 和 x_forwarded_for 这两个头信息来获取。

在中间没有代理的时候，remote_addr 代表客户端的 IP，但是有代理的时候 remote_addr 存的是代理机器 IP。而当使用代理时，x_forwarded_for 会把代理 IP 拼接在后面，第一个始终是客户端真实 IP。但是 x_forwarded_for 客户端可以伪造。

然后有资料说通过 nginx 配置： proxy_set_header X-Forward-For $remote_addr; 将 remote_addr 覆盖 x_forwarded_for，从而覆盖客户端伪造的信息，将客户端真实 IP 始终放在第一个，已获取客户端真实 IP。

这里我的疑问是：就算我最外层的 nginx 代理（反向代理）通过配置，将 remote_addr 放在了 x_forwarded_for 的第一位，让后端可以通过获取 x_forwarded_for 第一位来获取用户真实 IP，如果最外层 nginx 和用户之间，存在用户的代理呢？此时 remote_addr 存的不就是用户代理的 IP 了么？

代理

客户端

Nginx

remote_addr

21 条回复 • 2019-06-20 14:38:37 +08:00

momocraft

2019-06-19 12:54:05 +08:00

是，没办法（其实如果有办法就是安全漏洞了）

locoz

2019-06-19 13:06:09 +08:00

没办法的，你不能保证用户自己不使用代理服务器进行转发。

leishi1313

2019-06-19 13:23:50 +08:00 via Android

后端没有办法的，只能给啥就是啥，前端还可以请求位置什么的

Livid

MOD

2019-06-19 13:24:52 +08:00

http://nginx.org/en/docs/http/ngx_http_realip_module.html

Jirajine

2019-06-19 13:41:12 +08:00 via Android

这个要是让你获得那还了得；前端还可以用点阴招偷到，所以浏览器必须要禁用 WebRTC，hyperlink ping 之类的。要是能让你取得这个那代理还有什么意义

wuqingdzx

2019-06-19 14:48:03 +08:00

用户辛辛苦苦用个代理就是不想让你知道用户的真实 IP 啊

botsonar

2019-06-19 14:50:45 +08:00

有办法的，可以看看 webrtc

xiangyuecn

2019-06-19 16:36:40 +08:00

一棍子打死吧，永远不要使用 x_forwarded_for （包括类似的头）里面不是自己控制（非反代设置的）的 ip。

另外欢迎围观另外一种情况，14 年的帖子（真实 ip 的真实 ip 到底特么是什么真实 ip ），https://bbs.csdn.net/topics/390727207，要多简单就会有多简单，要多复杂也会有多复杂 😂