nginx - 后端程序获取客户端IP

linux运维菜

发布时间: 20-03-2321:03

简介

在使用 nginx 做反向代理时,后端要获取到客户端 IP,需要在 nginx 上设置对应的配置。

设置转发请求头

设置 HTTP 请求头中的 X-Forwarded-For,X-Real-IP

... location / { proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; # proxy_set_header X-Forwarded-For $remote_addr; proxy_pass http://127.0.0.1:8080; } ...

X-Real-IP 如果有多层转发,只要在第一层设置就可以了,防止变量被覆盖。 X-Forwarded-For 由于取前一个的值,相当于经过 nginx 代理就会追加一个 IP,只要获取第一个就是真实的客户端 IP。

后端获取

先获取 X-Real-IP如果获取不到 X-Real-IP,通过 X-Forwarded-For 取如果再取不到,就直接取 remote_addr

nginx 配置 X-Forwarded-For 的风险

用户可以通过自己设置请求头来伪造 ip。

比如在发起 http 请求时设置请求头 x-forwarded-for:1.1.1.1。

那么服务器通过 x-forwarded-for 获取到的第一个 ip 就是用户伪造的 ip。

防止伪造方案

在只有 1 层 nginx 代理的情况下,设置 nginx 配置

proxy_set_header X-Forwarded-For $remote_addr;

此时$remote_addr 获取的是用户的真实 ip

在有多层反向代理的情况下proxy_set_header X-Forwarded-For $remote_addr;proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

除了最外层之外的 nginx 配置设置 最外层 nginx 配置和情况 只有一层代理 一样这样就防止了用户通过伪造请求头来伪造真实 ip。

后台只需要从 x-forwarded-for 请求头中取出第一个 ip 就是用户的真实 ip。

后面如果有多个 ip,就是反向代理的 ip

X-Real-IP

只要 第一层 nginx 代理情况下只需配置即可:

proxy_set_header X-Real-IP $remote_addr;

当有多层反向代理时,只能在最外层代理设置

proxy_set_header X-Real-IP $remote_addr;

如果在非最外层设置,则获取到的是反向代理机器的 ip

举报/反馈