我想使用jsp方法request.getRemoteAddr();来了解安全问题。从服务器JSP获取客户端IP [安全]
我想过滤某些客户端IP(我不能使用防火墙:-()。
我在想,这样攻击者就可以改变HTTP请求的IP源?
还是客户端IP是层建3?
我要检查对HTTP请求的锻造这种方法的安全性(类似于到IP,而不是基于3层IP欺骗)。
感谢所有,
Andrea
我想使用jsp方法request.getRemoteAddr();来了解安全问题。从服务器JSP获取客户端IP [安全]
我想过滤某些客户端IP(我不能使用防火墙:-()。
我在想,这样攻击者就可以改变HTTP请求的IP源?
还是客户端IP是层建3?
我要检查对HTTP请求的锻造这种方法的安全性(类似于到IP,而不是基于3层IP欺骗)。
感谢所有,
Andrea
HTTP请求的“客户端”IP地址实际上是最后一个HTTP代理的IP地址。客户端无法欺骗它,但是如果客户端使用代理(许多服务器),那么IP地址对于识别请求的来源无太大帮助。
我想只是要确保所有的请求通过代理来我的服务器,我不想让客户端可以为了让服务器认为是改变这种信息来自代理,虽然它不是...
理论上,客户端可能欺骗代理的IP地址,但这并不容易。
我只想确保所有的请求都通过代理服务器来到我的服务器,而且我不希望客户端可以更改此信息,以便让服务器认为来自代理服务器的信息不是。 .. – Kerby82
我认为HTTP请求上的IP地址是发送响应的地方,因此如果他欺骗他的地址,攻击者可能不会得到非常有用的响应。 – bdares
因此,IP在HTTP请求上添加不能改变?它是在第3层计算的? – Kerby82
@bdares:否。响应被发送回相同的连接。 – EJP