在JSP里，獲取客戶端的IP地址的方法是：request.getRemoteAddr()，這種方法在大部分情況下都是有效的。但是在通過了Apache，Squid等反向代理軟件就不能獲取到客戶端的真實IP地址了。

如果使用了反向代理軟件，將http://192.168.1.110:2046/的URL反向代理為http://www.abc.com/的URL時，用request.getRemoteAddr()方法獲取的IP地址是：127.0.0.1或192.168.1.110，而并不是客戶端的真實IP。

經(jīng)過代理以后，由于在客戶端和服務(wù)之間增加了中間層，因此服務(wù)器無法直接拿到客戶端的IP，服務(wù)器端應(yīng)用也無法直接通過轉(zhuǎn)發(fā)請求的地址返回給客戶端。但是在轉(zhuǎn)發(fā)請求的HTTP頭信息中，增加了X-FORWARDED-FOR信息。用以跟蹤原有的客戶端IP地址和原來客戶端請求的服務(wù)器地址。

當(dāng)我們訪問http://www.abc.com/index.jsp/時，其實并不是我們?yōu)g覽器真正訪問到了服務(wù)器上的index.jsp文件，而是先由代理服務(wù)器去訪問http://192.168.1.110：2046/index.jsp，代理服務(wù)器再將訪問到的結(jié)果返回給我們的瀏覽器，因為是代理服務(wù)器去訪問index.jsp的，所以index.jsp中通過request.getRemoteAddr()的方法獲取的IP實際上是代理服務(wù)器的地址，并不是客戶端的IP地址。

外界流傳的JAVA/PHP服務(wù)器端獲取客戶端IP都是這么取的：

偽代碼：

1）ip = request.getHeader("X-FORWARDED-FOR ")

2）如果該值為空或數(shù)組長度為0或等于"unknown"，那么：

ip = request.getHeader("Proxy-Client-IP")

3）如果該值為空或數(shù)組長度為0或等于"unknown"，那么：

ip = request.getHeader("WL-Proxy-Client-IP")

4）如果該值為空或數(shù)組長度為0或等于"unknown"，那么：

ip = request.getHeader("HTTP_CLIENT_IP")

5）如果該值為空或數(shù)組長度為0或等于"unknown"，那么：

ip = request.getHeader("X-Real-IP")

6）如果該值為空或數(shù)組長度為0或等于"unknown"，那么：

ip = request.getRemoteAddr ()

先說說這些請求頭的意思

• X-Forwarded-For

這是一個 Squid 開發(fā)的字段，只有在通過了HTTP代理或者負載均衡服務(wù)器時才會添加該項。

格式為X-Forwarded-For:client1,proxy1,proxy2，一般情況下，第一個ip為客戶端真實ip，后面的為經(jīng)過的代理服務(wù)器ip。現(xiàn)在大部分的代理都會加上這個請求頭。

• Proxy-Client-IP/WL- Proxy-Client-IP

這個一般是經(jīng)過apache http服務(wù)器的請求才會有，用apache http做代理時一般會加上Proxy-Client-IP請求頭，而WL-Proxy-Client-IP是他的weblogic插件加上的頭。

• HTTP_CLIENT_IP

有些代理服務(wù)器會加上此請求頭。

• X-Real-IPnginx代理一般會加上此請求頭。

下面是一個參考獲取客戶端IP地址的方法：

public static String getIpAddress(HttpServletRequest request) {
	String ip = request.getHeader("x-forwarded-for");
	if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
		ip = request.getHeader("Proxy-Client-IP");
	}
	if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
		ip = request.getHeader("WL-Proxy-Client-IP");
	}
	if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
		ip = request.getRemoteAddr();
	}
	if (ip.contains(",")) {
		return ip.split(",")[0];
	} else {
		return ip;
	}
}

如果使用的是Druid連接池，可以參考使用：com.alibaba.druid.util.DruidWebUtils#getRemoteAddr方法，但這個是經(jīng)過多級代理的IP地址，需要自己處理下獲取第一個。

有幾點要注意

1. 這些請求頭都不是http協(xié)議里的標(biāo)準(zhǔn)請求頭，也就是說這個是各個代理服務(wù)器自己規(guī)定的表示客戶端地址的請求頭。如果哪天有一個代理服務(wù)器軟件用oooo-client-ip這個請求頭代表客戶端請求，那上面的代碼就不行了。

2. 這些請求頭不是代理服務(wù)器一定會帶上的，網(wǎng)絡(luò)上的很多匿名代理就沒有這些請求頭，所以獲取到的客戶端ip不一定是真實的客戶端ip。代理服務(wù)器一般都可以自定義請求頭設(shè)置。

3. 即使請求經(jīng)過的代理都會按自己的規(guī)范附上代理請求頭，上面的代碼也不能確保獲得的一定是客戶端ip。不同的網(wǎng)絡(luò)架構(gòu)，判斷請求頭的順序是不一樣的。

4. 最重要的一點，請求頭都是可以偽造的。如果一些對客戶端校驗較嚴格的應(yīng)用（比如投票）要獲取客戶端ip，應(yīng)該直接使用ip=request.getRemoteAddr()，雖然獲取到的可能是代理的ip而不是客戶端的ip，但這個獲取到的ip基本上是不可能偽造的，也就杜絕了刷票的可能。(有分析說arp欺騙+syn有可能偽造此ip，如果真的可以，這是所有基于TCP協(xié)議都存在的漏洞)，這個ip是tcp連接里的ip。文章來源地址http://www.zghlxwxcb.cn/news/detail-452096.html