背景介绍
在使用Nginx时,需要将IP地址转发到后置应用中,往往需要增加配置
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
在后端程序通过读取请求头里的X-Forwarded-For来获取用户客户端IP。
public String getRemortIP(HttpServletRequest request) { if (request.getHeader("x-forwarded-for") == null) { return request.getRemoteAddr(); } return request.getHeader("x-forwarded-for");
}
但是,这个X-Forwarded-For可以通过修改报文来伪造IP。
解决办法
Nginx中增加配置
proxy_set_header X-Real-IP $remote_addr; #让WEB取得原始请求IP
代码中取客户端IP
String clientIp = request.getHeader("X-Real-IP");
