Struts如何获取客户端ip地址

在JSP里，获取客户端的IP地址的方法是：request.getRemoteAddr（），这种方法在大部分情况下都是有效的。但是在通过了Apache，Squid等反向代理软件就不能获取到客户端的真实IP地址了。

如果使用了反向代理软件，将http://192.168.1.110：2046/ 的URL反向代理为 http://www.javapeixun.com.cn / 的URL时，用request.getRemoteAddr（）方法获取的IP地址是：127.0.0.1　或　192.168.1.110，而并不是客户端的真实IP。

经过代理以后，由于在客户端和服务之间增加了中间层，因此服务器无法直接拿到客户端的IP，服务器端应用也无法直接通过转发请求的地址返回给客户端。但是在转发请求的HTTP头信息中，增加了X－FORWARDED－FOR信息。用以跟踪原有的客户端IP地址和原来客户端请求的服务器地址。当我们访问http://www.javapeixun.com.cn /index.jsp/ 时，其实并不是我们浏览器真正访问到了服务器上的index.jsp文件，而是先由代理服务器去访问http://192.168.1.110：2046/index.jsp ，代理服务器再将访问到的结果返回给我们的浏览器，因为是代理服务器去访问index.jsp的，所以index.jsp中通过request.getRemoteAddr（）的方法获取的IP实际上是代理服务器的地址，并不是客户端的IP地址。

于是可得出获得客户端真实IP地址的方法一：

public String getRemortIP(HttpServletRequest request) {
  if (request.getHeader("x-forwarded-for") == null) {
   return request.getRemoteAddr();
  }
  return request.getHeader("x-forwarded-for");
 }

可是当我访问http://www.5a520.cn /index.jsp/ 时，返回的IP地址始终是unknown，也并不是如上所示的127.0.0.1　或　192.168.1.110了，而我访问http://192.168.1.110：2046/index.jsp 时，则能返回客户端的真实IP地址，写了个方法去验证。原因出在了Squid上。squid.conf 的配制文件　forwarded_for 项默认是为on，如果 forwarded_for 设成了 off 　则：X-Forwarded-For： unknown

于是可得出获得客户端真实IP地址的方法二：

public String getIpAddr(HttpServletRequest request) {
       String ip = request.getHeader("x-forwarded-for");
       if(ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
           ip = request.getHeader("Proxy-Client-IP");
       }
       if(ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
           ip = request.getHeader("WL-Proxy-Client-IP");
       }
       if(ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
           ip = request.getRemoteAddr();
       }
       return ip;
   }

可是，如果通过了多级反向代理的话，X-Forwarded-For的值并不止一个，而是一串Ｉｐ值，究竟哪个才是真正的用户端的真实IP呢？

答案是取X-Forwarded-For中第一个非unknown的有效IP字符串。

如：X-Forwarded-For：192.168.1.110， 192.168.1.120， 192.168.1.130， 192.168.1.100用户真实IP为： 192.168.1.110

以上方法还不行的话就采用如下方法：

 

/**
* 从客户端请求中获取客户端的IP
* @param request
* @return
*/
public static String getIpAddr(HttpServletRequest request){
　　String ipAddress = request.getHeader("x-forwarded-for");
　　if(isAble(ipAddress)) {
　　　　ipAddress = request.getHeader("Proxy-Client-IP");
　　}else if(isAble(ipAddress)) {
　　　　ipAddress = request.getHeader("WL-Proxy-Client-IP");
　　}else if (isAble(ipAddress)) {
　　　　ipAddress = request.getHeader("HTTP_CLIENT_IP");
　　}else if (isAble(ipAddress)) {
　　　　ipAddress = request.getHeader("HTTP_X_FORWARDED_FOR");
　　}else if (isAble(ipAddress)) {
　　　　ipAddress = request.getRemoteAddr();
　　}
　　//对于通过多个代理的情况，第一个IP为客户端真实IP,多个IP按照','分割
　　if(ipAddress!=null && ipAddress.length()>15){ //"***.***.***.***".length() = 15
　　　　if(ipAddress.indexOf(",")!=-1){
　　　　　　ipAddress = ipAddress.substring(0,ipAddress.indexOf(","));
　　　　}else{
　　　　　　ipAddress = ipAddress.substring(0, 15);
　　　　}
　　} 
　　return ipAddress;
}

/**
* 方法说明：判断ip地址是否可用<br/>
*
* @param ipAddress
* @return
*
*/
public static boolean isAble(String ipAddress){
　　return ipAddress == null || ipAddress.length() == 0 || "unknown".equalsIgnoreCase(ipAddress);
}

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

<以下摘自  http://www.cnblogs.com/zhengyun_ustc/archive/2012/09/19/getremoteaddr.html，感谢原作者>

外界流传的JAVA/PHP服务器端获取客户端IP都是这么取的：

伪代码：

1）ip = request.getHeader("X-FORWARDED-FOR")

    可伪造，参考附录A

2）如果该值为空或数组长度为0或等于"unknown"，那么：

ip = request.getHeader("Proxy-Client-IP")

3）如果该值为空或数组长度为0或等于"unknown"，那么：

ip = request.getHeader("WL-Proxy-Client-IP")

4）如果该值为空或数组长度为0或等于"unknown"，那么：

ip = request.getHeader("HTTP_CLIENT_IP")

    可伪造

5）如果该值为空或数组长度为0或等于"unknown"，那么：

ip = request.getRemoteAddr()

    可对于匿名代理服务器，可隐匿原始ip，参考附录B

 

之所以搞这么麻烦，是因为存在很多种网络结构，如 Nginx+Resin、Apache+WebLogic、Squid+Nginx。下面挨个儿讲一下。

郑昀 :△

首先，明确一下，Nginx 配置一般如下所示：

              location / {
                       proxy_pass       http://yourdomain.com;
                       proxy_set_header   Host             $host;
                       proxy_set_header   X-Real-IP        $remote_addr;
                       proxy_set_header   X-Forwarded-For  $proxy_add_x_forwarded_for;
              }

注意看红色字体，这些配置与下面的闯关拿IP有关。

 

———————————————————————————————

——第一关|X-Forwarded-For ：背景——

这是一个 Squid 开发的字段，并非 RFC 标准。

简称 XFF 头，只有在通过了 HTTP 代理或者负载均衡服务器时才会添加该项。在 Squid 开发文档中可以找到该项的详细介绍。

XFF 格式如下：

X-Forwarded-For: client1, proxy1, proxy2

可以看出，XFF 头信息可以有多个，中间用逗号分隔，第一项为真实的客户端ip，剩下的就是曾经经过的代理或负载均衡服务器的ip地址。

 

——第一关|X-Forwarded-For ：场景=客户端--CDN--Nginx——

当用户请求经过 CDN 后到达 Nginx 负载均衡服务器时，其 XFF 头信息应该为 “客户端IP,CDN的IP”。

一般情况下CDN服务商出于自身安全考虑会将屏蔽CDN的ip，只保留客户端ip。

那么请求头到达 Nginx 时：

• 在默认情况下，Nginx 并不会对 XFF 头做任何处理
• 此时 Nginx 后面的 Resin/Apache/Tomcat 通过 request.getHeader("X-FORWARDED-FOR") 获得的ip仍然是原始ip。
• 当 Nginx 设置 X-Forwarded-For 等于 $proxy_add_x_forwarded_for 时：
• 如果从CDN过来的请求没有设置 XFF 头（通常这种事情不会发生），XFF 头为 CDN 的ip
• 此时相对于 Nginx 来说，客户端就是 CDN 
• 如果 CDN 设置了 XFF 头，我们这里又设置了一次，且值为$proxy_add_x_forwarded_for 的话：
• XFF 头为“客户端IP,Nginx负载均衡服务器IP”，这样取第一个值即可
• 这也就是大家所常见的场景！

综上所述，XFF 头在上图的场景，Resin 通过 request.getHeader("X-FORWARDED-FOR") 获得的ip字符串，做一个split，第一个元素就是原始ip。

那么，XFF 头可以伪造吗？

 

——第一关|X-Forwarded-For ：伪造——

可以伪造。

XFF 头仅仅是 HTTP Headers 中的一分子，自然是可以随意增删改的。如附录A所示。

很多投票系统都有此漏洞，它们简单地取 XFF 头中定义的ip地址设置为来源地址，因此第三方可以伪造任何ip投票。

 

———————————————————————————————

——第二和第三关|Proxy-Client-IP/WL-Proxy-Client-IP ：背景——

Proxy-Client-IP 字段和 WL-Proxy-Client-IP 字段只在 Apache（Weblogic Plug-In Enable）+WebLogic 搭配下出现，其中“WL” 就是 WebLogic 的缩写。

即访问路径是：

Client -> Apache WebServer + Weblogic http plugin -> Weblogic Instances

所以这两关对于我们来说仅仅是兼容而已，怕你突然把 Nginx+Resin 换成 Apache+WebLogic 。

也可以直接忽略这两个字段。

 

———————————————————————————————

——第四关|HTTP-Client-IP ：背景——

HTTP_CLIENT_IP 是代理服务器发送的HTTP头。

很多时候 Nginx 配置中也并没有下面这项：

proxy_set_header HTTP_CLIENT_IP $remote_addr;

所以本关也可以忽略。

郑昀 :△

———————————————————————————————

——第五关| request.getRemoteAddr() ：背景——

从 request.getRemoteAddr() 函数的定义看：

    Returns the Internet Protocol (IP) address of the client or last proxy that sent the request. 

实际上，REMOTE_ADDR 是客户端跟服务器“握手”时的IP，但如果使用了“匿名代理”，REMOTE_ADDR 将显示代理服务器的ip，或者最后一个代理服务器的ip。请参考附录B。 

 

综上，

java/php 里拿到的ip地址可能是伪造的或代理服务器的ip。

 

郑昀 :△

+++附录A XFF 与 Nginx 配置的测试用例+++

测试环境： nginx+resin
内网IP：172.16.100.10
客户端IP：123.123.123.123

测试页面： test.jsp
<%
out.println("x-forwarded-for: " + request.getHeader("x-forwarded-for"));
out.println("remote hosts: " + request.getRemoteAddr());
%>

nginx 配置一

proxy_set_header X-Real-IP $remote_addr;

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

 

wget测试

wget -O aa --header="X-Forwarded-For:192.168.0.1" "http://test.com/test.jsp"

页面返回结果：

x-forwarded-for: 192.168.0.1, 123.123.123.123

remote hosts: 172.16.100.10

 

curl测试

curl -H "X-Forwarded-For:192.168.0.1" "http://test.com/test.jsp"

x-forwarded-for: 192.168.0.1, 123.123.123.123

remote hosts: 172.16.100.10

nginx 配置二
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

wget测试：
wget -O aa --header="X-Forwarded-For:192.168.0.1" "http://test.com/test.jsp"
页面返回结果：
x-forwarded-for: 123.123.123.123
remote hosts: 172.16.100.10

curl测试
curl -H "X-Forwarded-For:192.168.0.1" "http://test.com/test.jsp"
x-forwarded-for: 123.123.123.123
remote hosts: 172.16.100.10

测试结果：
1、配置  

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
增加了一个真实ip X-Forwarded-For，并且顺序是增加到了“后面”。

2、配置  

proxy_set_header X-Forwarded-For $remote_addr;
清空了客户端伪造传入的X-Forwarded-For，
保证了使用 request.getHeader("x-forwarded-for") 获取的ip为真实ip，
或者用“,”分隔，截取 X-Forwarded-For 最后的值。

 

+++附录B 搜狗浏览器高速模式的测试用例+++

访问路径：

搜狗浏览器“高速”模式（即使用代理）-->LVS-->Apache

获得的值为：

x-forwarded-for:180.70.92.43   (即真实ip)

Proxy-Client-IP:null

WL-Proxy-Client-IP:null 

getRemoteAddr:123.126.50.185  （即搜狗代理ip）

 

 

×××参考资源：×××

1，http://bbs.linuxtone.org/thread-9050-1-1.html

2，http://hi.baidu.com/thinkinginlamp/item/e2cf05263eb4d18e6e2cc3e6

3，http://bbs.chinaunix.net/thread-3659453-1-1.html