国产无码综合区,色欲AV无码国产永久播放,无码天堂亚洲国产AV,国产日韩欧美女同一区二区

^{<track id="qi2f9"></track>}

<del id="qi2f9"><pre id="qi2f9"></pre></del>

java服務器獲取ip 解讀請求頭偽造ip

2年前作者：globalcoding分類：Toy博客閱讀(22)違法舉報

這篇具有很好參考價值的文章主要介紹了java服務器獲取ip 解讀請求頭偽造ip。希望對大家有所幫助。如果存在錯誤或未考慮完全的地方，請大家不吝賜教，您也可以點擊"舉報違法"按鈕提交疑問。

目錄

一、獲取ip的代碼

二、請求頭解讀

三、注意事項

一、獲取ip的代碼

市面上流傳的JAVA/PHP服務器端獲取客戶端IP都是這樣：

        if (request == null) {
            return "unknown";
        }
        String ip = request.getHeader("x-forwarded-for");
        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
            ip = request.getHeader("Proxy-Client-IP");
        }
        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
            ip = request.getHeader("WL-Proxy-Client-IP");
        }
        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
            ip = request.getHeader("HTTP_CLIENT_IP");
        }
        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
            ip = request.getHeader("X-Real-IP");
        }
        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
            ip = request.getRemoteAddr();
        }

二、請求頭解讀

X-Forwarded-For
這是一個 Squid 開發(fā)的字段，只有在通過了 HTTP 代理或者負載均衡服務器時才會添加該項。格式為X-Forwarded-For: client1, proxy1, proxy2，一般情況下，第一個ip為客戶端真實ip，后面的為經(jīng)過的代理服務器ip?，F(xiàn)在大部分的代理都會加上這個請求頭

Proxy-Client-IP/WL- Proxy-Client-IP
這個一般是經(jīng)過apache http服務器的請求才會有，用apache http做代理時一般會加上Proxy-Client-IP請求頭，而WL- Proxy-Client-IP是他的weblogic插件加上的頭

HTTP_CLIENT_IP
有些代理服務器會加上此請求頭

X-Real-IP
nginx代理一般會加上此請求頭。

三、注意事項

1、這些請求頭都不是http協(xié)議里的標準請求頭，也就是說這個是各個代理服務器自己規(guī)定的表示客戶端地址的請求頭。如果哪天有一個代理服務器軟件用xxxx1-client-ip這個請求頭代表客戶端請求，那上面的代碼就不行了。

2、這些請求頭不是代理服務器一定會帶上的，網(wǎng)絡上的很多匿名代理就沒有這些請求頭，所以獲取到的客戶端ip不一定是真實的客戶端ip。代理服務器一般都可以自定義請求頭設置。

3、即使請求經(jīng)過的代理都會按自己的規(guī)范附上代理請求頭，上面的代碼也不能確保獲得的一定是客戶端ip。不同的網(wǎng)絡架構，判斷請求頭的順序是不一樣的。

4、最重要的一點，請求頭都是可以偽造的。如果一些對客戶端校驗較嚴格的應用（比如投票）要獲取客戶端ip，應該直接使用ip = request.getRemoteAddr ()，雖然獲取到的可能是代理的ip而不是客戶端的ip，但這個獲取到的ip基本上是不可能偽造的，也就杜絕了刷票的可能。(有分析說arp欺騙+syn有可能偽造此ip，如果真的可以，這是所有基于TCP協(xié)議都存在的漏洞)，這個ip是tcp連接里的ip。
?

待整理：

在JSP里，獲取客戶端的IP地址的方法是：request.getRemoteAddr（），這種方法在大部分情況下都是有效的。但是在通過了Apache，Squid等反向代理軟件就不能獲取到客戶端的真實IP地址了。

如果使用了反向代理軟件，將http://192.168.2.100:8080/ 的URL反向代理為 http://www.globalcoding.com?的URL時，用request.getRemoteAddr（）方法獲取的IP地址是：127.0.0.1　或　192.168.2.100，而并不是客戶端的真實IP。

經(jīng)過代理以后，由于在客戶端和服務之間增加了中間層，因此服務器無法直接拿到客戶端的IP，服務器端應用也無法直接通過轉(zhuǎn)發(fā)請求的地址返回給客戶端。但是在轉(zhuǎn)發(fā)請求的HTTP頭信息中，增加了X－FORWARDED－FOR信息。用以跟蹤原有的客戶端IP地址和原來客戶端請求的服務器地址。當我們訪問http://www.globalcoding.com/index.jsp/ 時，其實并不是我們?yōu)g覽器真正訪問到了服務器上的index.jsp文件，而是先由代理服務器去訪問http://192.168.2.100:8080/index.jsp ，代理服務器再將訪問到的結(jié)果返回給我們的瀏覽器，因為是代理服務器去訪問index.jsp的，所以index.jsp中通過request.getRemoteAddr（）的方法獲取的IP實際上是代理服務器的地址，并不是客戶端的IP地址。

多級反向代理下，Java獲取請求客戶端的真實IP地址多中方法整合_sgx425021234的博客-CSDN博客

=======================分割線=======================?

文章到此已經(jīng)結(jié)束，以下是紫薯布丁

? ? ? ? if (request == null) {
? ? ? ? ? ? return "unknown";
? ? ? ? }
? ? ? ? String ip = request.getHeader("x-forwarded-for");
? ? ? ? if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
? ? ? ? ? ? ip = request.getHeader("Proxy-Client-IP");
? ? ? ? }
? ? ? ? if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
? ? ? ? ? ? ip = request.getHeader("WL-Proxy-Client-IP");
? ? ? ? }
? ? ? ? if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
? ? ? ? ? ? ip = request.getHeader("HTTP_CLIENT_IP");
? ? ? ? }
? ? ? ? if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
? ? ? ? ? ? ip = request.getHeader("X-Real-IP");
? ? ? ? }
? ? ? ? if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
? ? ? ? ? ? ip = request.getRemoteAddr();
? ? ? ? }
?文章來源地址http://www.zghlxwxcb.cn/news/detail-474026.html

到了這里，關于java服務器獲取ip 解讀請求頭偽造ip的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關文章，希望大家以后多多支持TOY模板網(wǎng)！

本文來自互聯(lián)網(wǎng)用戶投稿，該文觀點僅代表作者本人，不代表本站立場。本站僅提供信息存儲空間服務，不擁有所有權，不承擔相關法律責任。如若轉(zhuǎn)載，請注明出處：如若內(nèi)容造成侵權/違法違規(guī)/事實不符，請點擊違法舉報進行投訴反饋，一經(jīng)查實，立即刪除！

分享到：

領支付寶紅包贊助服務器費用

Web漏洞之SSRF（服務器端請求偽造）
服務器會根據(jù)用戶提交的URL 發(fā)送一個HTTP 請求。使用用戶指定的URL，Web 應用可以獲取圖片或者文件資源等。典型的例子是百度識圖功能。如果沒有對用戶提交URL 和遠端服務器所返回的信息做合適的驗證或過濾，就有可能存在“請求偽造”的缺陷?！罢埱髠卧臁?，顧名思義，
2024年02月04日
瀏覽(27)
nestjs：nginx反向代理服務器后如何獲取請求的ip地址
問題： ? ? ? ? 如題參考： ????????nodejs+nginx獲取真實ip-騰訊云開發(fā)者社區(qū)-騰訊云 ????????「轉(zhuǎn)」從限流談到偽造 IP nginx remote_addr ? ? ? ?? 解決辦法： 1.設置nginx ? ? ? ? 對于代理部分，對http header添加Host、X-Real-IP、X-Forwarded-For（最重要） ???????? 2.nestjs使用
2024年02月13日
瀏覽(23)
SSRF服務器請求偽造原理和pikachu靶場實驗
★★ 免責聲明★★ 文章中涉及的程序(方法)可能帶有攻擊性，僅供安全研究與學習之用，讀者將信息做其他用途，由Ta承擔全部法律及連帶責任，文章作者不承擔任何法律及連帶責任。 1、SSRF簡介 SSRF全稱：Server-Side Request Forgery，服務器端請求偽造，是指攻擊者能夠從易受攻
2024年03月13日
瀏覽(25)
網(wǎng)絡安全進階學習第四課——SSRF服務器請求偽造
SSRF(Server-Side Request Forgery:服務器端請求偽造) 是指攻擊者能夠從易受攻擊的Web應用程序發(fā)送精心設計的請求的對其他網(wǎng)站進行攻擊。一般情況下， SSRF攻擊的目標是從外網(wǎng)無法訪問的內(nèi)部系統(tǒng)，也就是內(nèi)網(wǎng)。利用一個可以發(fā)起網(wǎng)絡請求的服務，當做跳板來攻擊其它服務 SSRF 形
2024年02月11日
瀏覽(30)
JAVA如何獲取服務器ip
該方法返回的是默認的本地地址，可能是服務器上某個網(wǎng)絡接口的IP地址，但不一定是我們期望獲取的IP地址。為了獲取正確的IP地址，可以使用其他方法來獲取服務器上所有的網(wǎng)絡接口，并遍歷每個網(wǎng)絡接口來獲取對應的IP地址?？梢允褂?NetworkInterface 類來實現(xiàn)此功能，如下
2024年02月07日
瀏覽(22)
Azure API 管理缺陷突出了 API 開發(fā)中的服務器端請求偽造風險
? 微軟最近修補了其 Azure API 管理服務中的三個漏洞，其中兩個漏洞啟用了服務器端請求偽造 (SSRF) 攻擊，這些攻擊可能允許黑客訪問內(nèi)部 Azure 資產(chǎn)。概念驗證漏洞用于突出開發(fā)人員在嘗試為自己的 API 和服務實施基于黑名單的限制時可能犯的常見錯誤。 Web API 已成為現(xiàn)代應
2024年02月13日
瀏覽(26)
Java中獲取當前服務器的IP地址
獲取ip的第一反應就是：使用InetAddress這個類：方法如下可以知道此時獲取到的服務器如果加了代理方式就是獲取到代理的地址，一般會使用netty代理轉(zhuǎn)發(fā)。我的解決死方法（方法是死的，但是能解決問題^_^）在nacos的配置里面新建一個
2024年02月11日
瀏覽(28)
Java后臺獲取客戶端ip與服務器ip的方法
1.可以用 RestTemplate 發(fā)送http請求
2024年02月11日
瀏覽(30)
C# 獲取Http請求服務器響應的cookie
一、C#服務器端響應存儲cookie ? 二、C#發(fā)送Http請求，獲取響應cookie 使用： CookieContainer ?打印結(jié)果： ? 更多：
2024年02月02日
瀏覽(27)
js獲取當前服務器的ip
如果提供的服務不是域名，而是ip形式，獲取當前服務器的IP地址，可以使用JavaScript中的 window.location 對象。 window.location 對象包含當前頁面的URL信息，包括主機名、協(xié)議、端口號等。可以從 window.location 對象中提取服務器的IP地址。使用 window.location.hostname 屬性獲取當前服務器
2024年02月11日
瀏覽(30)

<address id="5l7xf"><input id="5l7xf"></input></address>