使用阿里云的 slb 之后如何防止有人在 X-FORWARDED-FOR 头伪造 IP, slb 会原样传递,导致的假的 ip。有大神知道怎么解决这个问题吗?
Jackyxiaoc 2019-04-22 22:54:52 +08:00 5984 次点击这是一个创建于 2416 天前的主题,其中的信息可能已经有所发展或是发生改变。
使用阿里云的 slb 之后如何防止有人在 X-FORWARDED-FOR 头伪造 IP,slb 会原样传递,导致的假的 ip。
伪造 ip 成本是不是特别低 emmm...
伪造 ip 成本是不是特别低 emmm...
 | 1 yimuyimu 2019-04-22 23:12:50 +08:00 via Android 其他云也会遇到这个问题阿。https 加双向证书的方案试试 |
 | 2 yidinghe 2019-04-22 23:16:37 +08:00 via Android 提工单,问清楚就行了。 |
 | 3 Jackyxiaoc OP |
 | 4 leo108 2019-04-22 23:35:22 +08:00 建议深入了解一下 XFF 头,不要随便搜一个所谓『获取真实访客 IP 』的代码就拿来用。 简单一句话就是只信任来自可信反代的前一个 XFF 头。 |
 | 5 imdong 2019-04-22 23:40:00 +08:00 网上能找到的获取客户端 IP 的代码,基本上都是 同一个。 反正我开发 PHP 的,找到的代码全都是 N 年前的史前代码。 并且,全都有 IP 伪造的风险。 至于阿里,我使用 CDN 的时候,他是有一个 ALI_CDN_READ_REMOTE_IP 这个字段的 自己看下,具体字段名我不记得,看下有没有。 这个是无法被伪造的。 |
 | 6 auser 2019-04-22 23:47:24 +08:00 方案 1: 使用 TCP 监听,socket 层的地址就是客户端的真实 IP 地址。基于 TCP 三次握手,无法伪造。 方案 2: 从请求头从拿 RemoteIp 字段。这个类似 5 楼所述,阿里云 CDN 设置的字段。 |
 | 7 opengps 2019-04-22 23:47:41 +08:00 这个问题,好多 cdn 都有 |
 | 8 Livid MOD PRO  1 1. 每一个 CDN 都会有自己用于实现这个目的的独特头部。 2. 如果 CDN 支持部署边缘计算逻辑,那么可以自己写一些代码来更安全地实现这个。 |
 | 9 blless 2019-04-23 00:18:56 +08:00 via Android 多层代理会有多个 ip,只取最后一个就好,按楼上的说法,只有阿里这个负载均衡反代才是合法的,只要相信阿里这个就好 |
 | 10 moult 2019-04-23 01:18:50 +08:00 via iPhone 其实这问题无解。网站不得不无条件信任 XFF 头。因为在安卓的微信浏览器下面,所有的请求都会经过腾讯的服务器中转,中转之后,直接获取到的 IP 是腾讯服务器的 IP,只能信任 XFF 头来获取真实的用户 IP 地址。 |
 | 11 richard1122 2019-04-23 07:03:04 +08:00 前端时间研究过这个问题,XFF 头是依次增加 ip 的,不会丢弃掉以前的。 你确认自己后端在一个可信的代理后面(比如自己部署的 nginx 或者云平台的网关)时,可以直接取最后一个。 比如汤姆猫已经实现了这个逻辑,只需要配置一下,request 里面的 remote 地址就是正确的了。 |
 | 12 est 2019-04-23 07:53:22 +08:00 via Android 还是我有解的。你自己请求也加一个 xff 然后如果数据对不上就是被搞了 |
 | 14 sadpencil 2021-01-26 06:47:25 +08:00 上一条打错了,@imdong 实际的字段名叫 ALI_CDN_REAL_IP |
 | 15 chinafengzhao 2022-08-11 10:32:36 +08:00 |
Select Language