HTTP请求中常见IP(X-Forwarded-For 、Proxy-Client-IP、WL-Proxy-Client-IP、HTTP_CLIENT_IP、... ...)

原创 于 2025-05-28 13:19:44 发布 · 1.2k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#架构

以下是HTTP请求中常见IP相关字段的解析及作用说明:

1. ‌X-Forwarded-For

  • 含义‌:用于记录客户端原始IP及经过的代理IP链,格式为逗号分隔的IP列表(例如:X-Forwarded-For: client, proxy1, proxy2),最左侧为原始客户端IP15。
  • 用途‌:在反向代理或负载均衡场景中传递客户端真实IP,适用于七层监听(HTTP/HTTPS)27。
  • 注意‌:该字段可被伪造,需结合其他字段验证49。

2. ‌Proxy-Client-IP

  • 含义‌:由代理服务器(如Apache代理)添加的头部,表示客户端的IP地址18。
  • 用途‌:部分代理环境用于标识客户端真实IP,但仅包含单个IP,不记录代理链48。
  • 注意‌:可靠性较低,可能被中间代理覆盖或伪造48。

3. ‌WL-Proxy-Client-IP

  • 含义‌:WebLogic代理插件专用的头部,作用与Proxy-Client-IP类似18。
  • 用途‌:特定于WebLogic中间件环境,用于传递客户端IP1。
  • 注意‌:仅适用于WebLogic代理场景,通用性较弱14。

4. ‌HTTP_CLIENT_IP

  • 含义‌:部分HTTP服务器(如Apache)生成的变量,用于标识客户端IP48。
  • 用途‌:可能包含客户端真实IP,但需依赖服务器配置8。
  • 注意‌:数据来源不可控,存在伪造风险49。

5. ‌HTTP_X_FORWARDED_FOR

  • 含义‌:部分编程语言(如PHP)中将X-Forwarded-For头部转为服务器变量的形式(例如$_SERVER['HTTP_X_FORWARDED_FOR'])47。
  • 用途‌:与X-Forwarded-For功能一致,但表现形式因服务器环境而异47。

6. ‌remoteAddr(REMOTE_ADDR)

  • 含义‌:服务器与客户端直接建立TCP连接的IP地址,由操作系统自动填充且不可伪造78。
  • 用途‌:唯一可靠性高的IP来源,但当请求经过代理时,此值为最后一个代理的IP地址78。
  • 注意‌:无法直接反映客户端真实IP,需结合代理层传递的其他字段解析27。

综合建议

  • 获取真实IP的优先级‌:通常按顺序检查X-Forwarded-For首个IP → Proxy-Client-IP → WL-Proxy-Client-IP → HTTP_CLIENT_IP → 最终回退到remoteAddr48。
  • 安全风险‌:除remoteAddr外,其他字段均可能被伪造,需结合代理层配置(如CLB七层监听)或可信网络环境过滤无效IP29。
HTTP请求X-Forwarded-For注入
墨痕诉清风的博客
02-14 484
但是你将不会收到对方的响应,因为在正常的TCP/IP通信中,伪造数据包来源 IP会让发送出去的数据包返回到伪造的IP上,无法实现正常的通信。当你对用户网站进行的爆破或者sql注入的时候,为了防止你影响服务器的正常工作,会限制你访问,当你再次访问时,会提示你的由于你的访问频过快或者您的请求有攻击行为,限制访问几个小时内不能登陆,并且重定向到一个错误友好提示页面。通过sqlmap抛出的信息,可以看到存在sql注入的点是X-Forwarded-For字段,并且爆出了mysql的版本信息和脚本语言的信息。
HTTP头字段X-Forwarded-For,Proxy-Client-IP,WL-Proxy-Client-IP
最新发布
weixin_42551921的博客
11-26 264
是一个专为WebLogic Server设计的HTTP头字段,用于传递客户端的真实IP地址。在配置和使用时,应确保中间件的可靠性,并采取适当的安全措施以防止头信息被篡改。
获取客户端真实IP地址的HTTP请求
weixin_55829616的博客
06-02 3279
常见请求头包括X-Forwarded-ForProxy-Client-IP、X-Forwarded-ForWL-Proxy-Client-IP、X-Real-IP和RemoteAddr等。WL-Proxy-Client-IP:WebLogic Server使用的代理服务器将客户端的IP地址放在WL-Proxy-Client-IP请求头中。Proxy-Client-IP:一些代理服务器会将客户端的IP地址放在Proxy-Client-IP请求头中。例如:X-Real-IP: 192.168.1.1。
获取客户端IPHTTP_CLIENT_IP 是一个骗局吗?
牛奔的博客
09-26 1万+
问题: 获取客户端IP,很多代码都会拿 HTTP_CLIENT_IP的值,其次拿 HTTP_X_FORWARDED_FOR,最后是 REMOTE_ADDR。   答案: REMOTE_ADDR不可以显式的伪造,虽然可以通过代理将ip地址隐藏,但是这个地址仍然具有参考价值,因为它就是与你的服务器实际连接的ip地址。 相比之下,前两种ip地址都可以通过http header来伪造,但并不意味...
获取ip地址
chengchong_cc的博客
03-19 258
【代码】获取ip地址。
获取客户端IP HTTP_CLIENT_IPHTTP_X_FORWARDED_FOR、REMOTE_ADDR
changfangyuansh
06-11 1910
public function get_ip() { if (isset($_SERVER)) { if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) { $realip = $_SERVER['HTTP_X_FORWARDED_FOR']; } elseif (isset($_SERVER['...
代理http请求获取客户端IP
热门推荐
fengwind1的专栏
07-22 3万+
外界流传的JAVA/PHP服务器端获取客户端IP都是这么取的: 伪代码: 1)ip = request.getHeader("X-FORWARDED-FOR ") 2)如果该值为空或数组长度为0或等于"unknown",那么: ip = request.getHeader("Proxy-Client-IP") 3)如果该值为空或数组长度为0或等于"unknown",那么: ip = r
获取客户端ip地址
akunuqeg69855的博客
04-21 325
申明:文章转摘自这里http://gaojohn.blogchina.com/1257810.html 我仅仅是作为学习备份,感谢上面的作者; HTTP_CLIENT_IP:可通过http头伪造HTTP_X_FORWARDED_FOR:可通过http头伪造REMOTE_ADDR:可能是用户真实IP也可能是代理IP 服务端获取IP地址 http://www.taoyiz.com/u...
HTTP_X_FORWARDED_FOR REMOTE_ADDR HTTP_CLIENT_IP
wuqing2012mxd的博客
06-18 291
$_SERVER['REMOTE_ADDR']:这个系统变量是你的客户端跟你的服务器“握手”时候的IP。如果使用了“匿名代理(anonymous)”,REMOTE_ADDR将显示代理服务器的IP。访问端(有可能是用户,有可能是代理的)IP $_SERVER['HTTP_CLIENT_IP']:是代理服务器发送的HTTP头。如果是“超级匿名代理”,则返回none值。同样,REMOTE_ADDR也会被替换为这个代理服务器的IP。代理端的(有可能存在,可伪造) ...
获取客户端真实IP方法
weixin_34337381的博客
04-10 433
2019独角兽企业重金招聘Python工程师标准>>> ...
5. X-Forwarded-For 与 Remote Addr
kaifei的博客
03-14 957
文章目录简介Remote addrX-Forwarded-For配置反向代理 简介 X-Forwarded-For 是一个 HTTP 扩展头部,主要是为了让 Web 服务器能够获取到客户端真实的 ip。(可以被伪造,客户端发送请求时可以 override 这个请求头) REMOTE_ADDR 表示与服务器进行 TCP 连接的 IP,这个值不能够被伪造。(TCP 连接会经过三次握手,如果伪造了,便没...
public static final List<String> HEADER_PARAM = Arrays.asList("x-forwarded-for", "Proxy-Client-IP", "WL-Proxy-Client-IP");
07-11
这是一个Java代码段,定义了一个名为...该列表使用Arrays.asList方法初始化,包含三个字符串元素:"x-forwarded-for"、"Proxy-Client-IP"和"WL-Proxy-Client-IP"。这些字符串代表HTTP请求头中可能包含的参数名称。
如何通过检查请求报文中的X-Forwarded-For头字段来获取用户的真实IP地址
06-09
上述代码首先尝试获取X-Forwarded-For头字段中的IP地址,如果该字段不存在或值为unknown,则尝试获取Proxy-Client-IPWL-Proxy-Client-IP等头字段中的IP地址,最后再获取客户端的真实IP地址。如果以上所有方法都...
REMOTE_ADDR,HTTP_CLIENT_IPHTTP_X_FORWARDED_FOR
weixin_30426957的博客
10-15 110
看ecshop的lib_base.php的时候里面获取客户端真实ip的函数(real_ip),有许多情况的判断,主要判断客户端是否使用代理的情况,注意判断顺序,先判断客户端是否使用代理HTTP_X_FORWARDED_FOR 还是把源码附上吧 /** * 获得用户的真实IP地址 * * @access public * @return string */ fu...
weblogic集群下,程序获取客户端IP、获取用户IP的时,节点需要首先启用WL-Proxy-Client-IP
qustbestwyf的专栏
03-09 6248
weblogic集群配置,以下方法可以正常获取客户端的IP nodeA的配置,点击 “环境—服务器—nodeA”, 然后再点击“配置—常规—高级”,勾选“已启用 WebLogic 插件”,保存并激活后,将该服务器重起,对nodeB做同样的配置
HTTP_CLIENT_IPHTTP_X_FORWARDED_FOR、REMOTE_ADDR
weixin_30881367的博客
07-27 269
REMOTE_ADDR 是你的客户端跟你的服务器“握手”时候的IP。如果使用了“匿名代理”,REMOTE_ADDR将显示代理服务器的IPHTTP_CLIENT_IP 是代理服务器发送的HTTP头。如果是“超级匿名代理”,则返回none值。同样,REMOTE_ADDR也会被替换为这个代理服务器的IP。$_SERVER['REMOTE_ADDR']; //访问端(有可能是用户,有可能是代理的)I...
获取用户Ip地址通用方法常见安全隐患(HTTP_X_FORWARDED_FOR)
8292669的专栏
05-29 7575
分析过程 这个来自一些项目中,获取用户Ip,进行用户操作行为的记录,是常见并且经常使用的。 一般朋友,都会看到如下通用获取IP地址方法。 function getIP() { if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) { $realip = $_SERVER['HTTP_X_FORWARDED_FOR']; } else
遗留问题
xiaoxiaoniaoer1的专栏
07-03 897
1、正则表达式 2、 HTTP_CLIENT_IP:可通过http头伪造 HTTP_X_FORWARDED_FOR:可通过http头伪造 REMOTE_ADDR:可能是用户真实IP也可能是代理IP 服务端获取IP地址 http://www.taoyiz.com/util/ip 其代码如下: $s_onlineip = getenv(HTTP_CLIENT_IP); echo “H
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值