刚才问了个nginx转发upstream改变转发来源ip的问题,既然访问请求来源的ip可以被随意改变,那么我们在web服务端获得的ip也就是不能完全相信的了,那么我们应该什么方式来限制用户真实ip,还是确实这条路不可行?
刚才问了个nginx转发upstream改变转发来源ip的问题,既然访问请求来源的ip可以被随意改变,那么我们在web服务端获得的ip也就是不能完全相信的了,那么我们应该什么方式来限制用户真实ip,还是确实这条路不可行?
nginx是 【你】搭建的,还是要 【被禁止的用户】 搭建的?
HTTP_X_FORWARD_FOR是可以伪造的,但是 REMOTE_ADDR 是改变不了的。
如果是 【被禁止的用户】 的搭建的:
你可以通过$_SERVER["REMOTE_ADDR"]可以获取到nginx服务器的IP,直接封。
如果是 【你】搭建的nginx:
虽然可以通过$_SERVER["HTTP_X_FORWARD_FOR"]获取到用户的IP,但是有可能是伪造的。
<code>proxy_set_header X-Forward-For $remote_addr</code>
最好的办法是增加私有的HTTP头,nginx转发时增加私有http头X-GAGAGA(嘎嘎嘎,猜不到吧),使用$_SERVER["HTTP_X_GAGAGA"]获取,这样攻击这即使祥伪造,也不知道需要伪造啥。
服务公司的响应式网站模板 响应式布局是Ethan Marcotte在2010年5月份提出的一个概念,简而言之,就是一个网站能够兼容多个终端——而不是为每个终端做一个特定的版本。这个概念是为解决移动互联网浏览而诞生的。 响应式布局可以为不同终端的用户提供更加舒适的界面和更好的用户体验,而且随着目前大屏幕移动设备的普及,用“大势所趋”来形容也不为过。随着越来越多的设计师采用这个技术,我们不仅看到很
45
<code>proxy_set_header X-GAGAGA $remote_addr</code>
另外,阿里旗下WW现在御用的代理平台HL系统因为HTTP_X_FORWARD_FOR过滤不严,精心构造请求可注入。。。(现在新版已经修复)
关于伪造,如果 你用的 Linux/Unix/OSX,自带的curl就可以实现:
<code>curl abc.com/test.php -H "X-FORWARD-FOR:8.8.8.8"</code>
如果不过滤,恰巧有直接通过IP来判断是否再黑名单或者后台有记录IP操作日志的功能:
<code>#想注入就注入
curl miaoqiyuan.cn/test.php -H "X-FORWARD-FOR:' or 'a'='a"
#想XSS就XSS
curl miaoqiyuan.cn/test.php -H "X-FORWARD-FOR:alert('a')"</code>
我想了个方案,可以配置nginx的时候,添加proxy_set_header X-Forward-For $remote_addr 配置。然后$_SERVER["HTTP_X_FORWARD_FOR"]获取用户的真实IP,然后再程序里面进行IP的限制。
每个人都需要一台速度更快、更稳定的 PC。随着时间的推移,垃圾文件、旧注册表数据和不必要的后台进程会占用资源并降低性能。幸运的是,许多工具可以让 Windows 保持平稳运行。
Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
943
收藏
