SonarQube HTTP＆HTTPS +反向代理：IP欺骗攻击？

Question

Sonarqube部署在Intranet服务器上（=> http url）。

如果HTTPS互联网网址声明访问此服务器，使用DMZ反向代理，出现此错误：

2013.11.22 19:47:53 ERROR rails /!\ FAILSAFE /!\ Fri Nov 22 19:47:53 +0100 2013 
    Status: 500 Internal Server Error 
    IP spoofing attack?! 
HTTP_CLIENT_IP="[real.ip.deleted]" 
HTTP_X_FORWARDED_FOR="[real.ip.deleted]" 

Rails的有权利，但这种使用情况是可以接受的（建议SonarQube用户界面供应商，或者当我想用我的咖啡时间在我的Smartphne上检查我的CI结果！）。

禁用IP欺骗或取消选中代理IP验证可能是一个很大的特点，用于INsonar.properties

---

一种解决方法的可能性（在声纳3.7.3测试）被设置

File : [sonar-dir]/war/sonar-server/WEB-INF/gems/gems/actionpack-2.3.15/lib/action_controller/base.rb 

@@ip_spoofing_check = false 

但修改的分布是不可持续的

Answer 1

这种情况似乎与在反向代理中配置的Apache 2.2（ProxyPass指令）一致，在SonarQube前面。

此版本always add 'HTTP_X_FORWARDED_FOR' header。

---

最好的解决方案（相对于公开的解决方法）是在Apache 2.4中升级。

可以使用指令ProxyAddHeaders来控制添加这个头。

---

其他计算器线程：is-there-a-way-to-remove-apaches-reverse-proxy-request-headers