是http_x_forwarded_for
安全吗?
在请求中,是否可以用fake ip
修改http_x_forwarded_for
?
黑客可以这样做吗?是http_x_forwarded_for安全检查IP
0
A
回答
0
由于IP网络的工作方式,没有办法告诉连接到您的服务器的客户端的实际IP地址。这个问题甚至没有意义。如果在网络上使用NAT,您希望将哪个IP看作客户端IP,NATed网络上的内部(本地)IP还是第一个公共IP?当整个互联网提供商公司与客户端网络一起工作时(尽管这种情况越来越少见),你会从后者中获得什么?
您需要确认在IP网络中,流量通过许多节点,其中一些节点可能会更改请求的明显IP地址。这些包括NAT服务器和不同种类的代理服务器,在到达服务器之前无法确定数据包发生了什么。
也在HTTP中,可以伪造任何请求标头。这包括任何以您喜欢的语言开头的变量SERVER_
。这些不可信,用户可以发送任何他想要的。
唯一的例外是实际明显的客户端IP,这是很难伪造,但只给你最后一跳(最后一个代理,或最后一个NAT服务器)。
此外,大多数情况下,如果您需要了解客户端IP,那么在逻辑上某些事情是错误的。例如,您必须接受客户端IP绝不是用户(个人)的标识符。
0
is http_x_forwarded_for safe?
它取决于您所依赖的代理服务器。代理服务器可以完全控制这个头,它可以设置头中的任何值。所以,如果你在控制代理,你可以信任这个属性并且可以确认它的正确信息。过去,我成功地使用了这个功能,通过受信任的代理服务器设置来读取客户端IP地址。
is it able to modify the http_x_forwarded_for with fake ip?
Can hackers do that?
如果你谈论的是包含多个代理服务器的网络中,在一个特定的跳修改请求到达服务器之前,则是它的可能。所以,它取决于你的代理设置,如何控制它。如果它通过拦截转发的代理请求在网络隧道上更改头部,则可能可以使用IMO,但可以使用适当的握手协议来避免。
相关问题
- 1. Request.ServerVariables(“REMOTE_ADDR”)与Request.ServerVariables(“HTTP_X_FORWARDED_FOR”)的安全隐患
- 2. Python3检查IP地址是否全球
- 3. 什么是IP安全?
- 4. Grails安全检查
- 5. J-安全检查tomcat的安全检查是确定的,但JSP 403错误
- 6. HTTP_X_FORWARDED_FOR给出了两部分IP?
- 7. 检查是否为空线程安全?
- 8. 安全地检查'this`是否为空
- 9. 检查是否安全删除一行
- 10. 我如何检查IP地址,并要求安全ans
- 11. 限制IP安全
- 12. 检查IP是子网
- 13. 检查IP是在LAN
- 14. 安全会话检查
- 15. ASP/Javascript onClientClick安全检查()
- 16. PHP会话安全检查
- 17. PHP安全会话检查?
- 18. PHP fuzzer安全检查(Radamsa)
- 19. 安全双重检查
- 20. Referer检查失败(Referer是不安全的,而主机是安全的)
- 21. 检查UI_USER_INTERFACE_IDIOM()以确定它是iPhone还是iPad是否安全?
- 22. Python IP检查
- 23. Asp.Net核心IP安全
- 24. 使用静态IP安全
- 25. 使用IsWindow(hWnd)检查窗口是否关闭是否安全?
- 26. 检查它是否是安全的迭代一个JavaScript变量
- 27. Socket.io的握手查询是安全的还是安全的?
- 28. JavaFX检查是否全屏
- 29. 检查IP地址
- 30. 检查访客IP是否在MySQL
[如何正确使用HTTP_X_FORWARDED_FOR?](https://stackoverflow.com/q/11452938/608639),[HTTP_CLIENT_IP和HTTP_X_FORWARDED_FOR之间的区别是什么?](https://stackoverflow.com/q/7445592/608639)等 – jww
[PHP最准确/安全的方式来获取真实用户IP地址在2017]可能重复(https://stackoverflow.com/questions/44085102/php-most-accurate-safe-way-to -get实时的用户IP地址的功能于2017年) – Narf