php - 如何正确使用 HTTP_X_FORWARDED_FOR？

Question

好的，我有一个小的身份验证问题。我的 Web 服务允许使用用户名和密码通过 HTTP 连接到我的 API，但此连接也可以限制为特定的 IP 地址。

这意味着$_SERVER['REMOTE_ADDR']可能是不正确的。我已经知道任何 IP 信息都不能真正被依赖——我有这个限制只是为了增加另一层安全性。

如果这是对我的 Web 服务器的请求的一般概述：

clientSERVER => clientPROXY => myPROXY => mySERVER

那么这意味着 mySERVER 显示REMOTE_ADDRmyPROXY 而不是客户端，并将客户端的实际 IP 发送为HTTP_X_FORWARDED_FOR.

为了克服这个问题，我的 Web 服务有一个“受信任的代理”IP 地址列表，如果REMOTE_ADDR来自这些受信任的 IP 地址之一，那么它会告诉我的 Web 服务实际 IP 地址是HTTP_X_FORWARDED_FOR.

现在问题出在clientPROXY上。这意味着（经常） mySERVER 获得HTTP_X_FORWARDED_FOR具有多个 IP 地址的值。根据HTTP_X_FORWARDED_FOR文档，该值是以逗号分隔的 IP 地址列表，其中第一个 IP 是实际真实客户端的 IP 地址，其他每个 IP 地址都是代理的 IP 地址。

那么，如果HTTP_X_FORWARDED_FOR有多个值并且我的服务受 IP 限制，我是否必须根据HTTP_X_FORWARDED_FOR允许的 IP 列表检查“最后一个”值并忽略实际的客户端 IP？

我假设在一个系统中，我必须设置允许的 IP 地址列表，列入白名单的 IP 地址应该是代理的地址，而不是代理后面的 IP（因为它可能是一些本地主机 IP 并且经常更改） .

什么HTTP_CLIENT_IP？

score 35 · Accepted Answer

您可以使用此函数获取正确的客户端 IP：

public function getClientIP(){       
     if (array_key_exists('HTTP_X_FORWARDED_FOR', $_SERVER)){
            return  $_SERVER["HTTP_X_FORWARDED_FOR"];  
     }else if (array_key_exists('REMOTE_ADDR', $_SERVER)) { 
            return $_SERVER["REMOTE_ADDR"]; 
     }else if (array_key_exists('HTTP_CLIENT_IP', $_SERVER)) {
            return $_SERVER["HTTP_CLIENT_IP"]; 
     } 

     return '';
}

score 24 · Accepted Answer

我喜欢 Hrishikesh 的答案，我只有这个要添加...因为我们看到在使用多个代理时遇到了一个逗号分隔的字符串，我们发现有必要添加一个爆炸并获取最终值，比如这个：

$IParray=array_values(array_filter(explode(',',$_SERVER['HTTP_X_FORWARDED_FOR'])));
return reset($IParray);

array_filter 在那里删除空条目。

score 17 · Accepted Answer

鉴于最新的httpoxy漏洞，确实需要一个完整的例子，如何HTTP_X_FORWARDED_FOR正确使用。

所以这里有一个用 PHP 编写的示例，如何检测客户端 IP 地址，如果您知道客户端可能位于代理后面并且您知道该代理是可以信任的。如果您不知道任何受信任的代理，请使用REMOTE_ADDR

<?php

function get_client_ip ()
{
    // Nothing to do without any reliable information
    if (!isset ($_SERVER['REMOTE_ADDR'])) {
        return NULL;
    }

    // Header that is used by the trusted proxy to refer to
    // the original IP
    $proxy_header = "HTTP_X_FORWARDED_FOR";

    // List of all the proxies that are known to handle 'proxy_header'
    // in known, safe manner
    $trusted_proxies = array ("2001:db8::1", "192.168.50.1");

    if (in_array ($_SERVER['REMOTE_ADDR'], $trusted_proxies)) {

        // Get the IP address of the client behind trusted proxy
        if (array_key_exists ($proxy_header, $_SERVER)) {

            // Header can contain multiple IP-s of proxies that are passed through.
            // Only the IP added by the last proxy (last IP in the list) can be trusted.
            $proxy_list = explode (",", $_SERVER[$proxy_header]);
            $client_ip = trim (end ($proxy_list));

            // Validate just in case
            if (filter_var ($client_ip, FILTER_VALIDATE_IP)) {
                return $client_ip;
            } else {
                // Validation failed - beat the guy who configured the proxy or
                // the guy who created the trusted proxy list?
                // TODO: some error handling to notify about the need of punishment
            }
        }
    }

    // In all other cases, REMOTE_ADDR is the ONLY IP we can trust.
    return $_SERVER['REMOTE_ADDR'];
}

print get_client_ip ();

?>

score 2 · Accepted Answer

您还可以使用mod_remoteip通过 Apache 配置解决此问题，方法是将以下内容添加到 conf.d 文件中：

RemoteIPHeader X-Forwarded-For
RemoteIPInternalProxy 172.16.0.0/12
LogFormat "%a %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined

score 0 · Accepted Answer

如果在数据库中使用它，这是一个好方法：

将数据库中的 ip 字段设置为 varchar(250)，然后使用：

$theip = $_SERVER["REMOTE_ADDR"];

if (!empty($_SERVER["HTTP_X_FORWARDED_FOR"])) {
    $theip .= '('.$_SERVER["HTTP_X_FORWARDED_FOR"].')';
}

if (!empty($_SERVER["HTTP_CLIENT_IP"])) {
    $theip .= '('.$_SERVER["HTTP_CLIENT_IP"].')';
}

$realip = substr($theip, 0, 250);

然后您只需对照数据库 ip 字段检查 $realip

score 0 · Accepted Answer

请注意，“HTTP_X_FORWARDED_FOR”很容易被欺骗，例如使用浏览器插件更改条目......所以请注意！

试试这个来自 Hrishikesh Mishra 的修改后的代码（未测试）：

 function getClientIP(){  

 if (array_key_exists('HTTP_X_FORWARDED_FOR', $_SERVER) && preg_match('/\b((25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)(\.|$)){4}\b/', $_SERVER["HTTP_X_FORWARDED_FOR"])){
        return  $_SERVER["HTTP_X_FORWARDED_FOR"];  
 }else if (array_key_exists('REMOTE_ADDR', $_SERVER)) { 
        return $_SERVER["REMOTE_ADDR"]; 
 }else if (array_key_exists('HTTP_CLIENT_IP', $_SERVER)) {
        return $_SERVER["HTTP_CLIENT_IP"]; 
 } 

 return '';
}

score -4 · Accepted Answer

HTTP_CLIENT_IP 是获取用户 IP 地址的最可靠方式。接下来是 HTTP_X_FORWARDED_FOR，然后是 REMOTE_ADDR。按顺序检查所有三个，假设设置的第一个（isset($_SERVER['HTTP_CLIENT_IP'])如果设置了该变量，则返回 true）是正确的。您可以使用各种方法独立检查用户是否正在使用代理。看看这个。

php - 如何正确使用 HTTP_X_FORWARDED_FOR？

7 回答 7

Related

Reference