在JSP里,獲取客戶端的IP地址的方法是:request.getRemoteAddr(),這種方法在大部分情況下都是有效的。但是在通過了Apache,Squid等反向代理軟件就不能獲取到客戶端的真實(shí)IP地址了。
如果使用了反向代理軟件,將http://192.168.1.110:2046/的URL反向代理為http://www.abc.com/的URL時,用request.getRemoteAddr()方法獲取的IP地址是:127.0.0.1或192.168.1.110,而并不是客戶端的真實(shí)IP。
經(jīng)過代理以后,由于在客戶端和服務(wù)之間增加了中間層,因此服務(wù)器無法直接拿到客戶端的IP,服務(wù)器端應(yīng)用也無法直接通過轉(zhuǎn)發(fā)請求的地址返回給客戶端。但是在轉(zhuǎn)發(fā)請求的HTTP頭信息中,增加了X-FORWARDED-FOR信息。用以跟蹤原有的客戶端IP地址和原來客戶端請求的服務(wù)器地址。
當(dāng)我們訪問http://www.abc.com/index.jsp/時,其實(shí)并不是我們?yōu)g覽器真正訪問到了服務(wù)器上的index.jsp文件,而是先由代理服務(wù)器去訪問http://192.168.1.110:2046/index.jsp,代理服務(wù)器再將訪問到的結(jié)果返回給我們的瀏覽器,因?yàn)槭谴矸?wù)器去訪問index.jsp的,所以index.jsp中通過request.getRemoteAddr()的方法獲取的IP實(shí)際上是代理服務(wù)器的地址,并不是客戶端的IP地址。
外界流傳的JAVA/php服務(wù)器端獲取客戶端IP都是這么取的:
偽代碼:
1)ip = request.getHeader("X-FORWARDED-FOR ")
2)如果該值為空或數(shù)組長度為0或等于"unknown",那么:
ip = request.getHeader("Proxy-Client-IP")
3)如果該值為空或數(shù)組長度為0或等于"unknown",那么:
ip = request.getHeader("WL-Proxy-Client-IP")
4)如果該值為空或數(shù)組長度為0或等于"unknown",那么:
ip = request.getHeader("HTTPCLIENTIP")
5)如果該值為空或數(shù)組長度為0或等于"unknown",那么:
ip = request.getHeader("X-Real-IP")
6)如果該值為空或數(shù)組長度為0或等于"unknown",那么:
ip = request.getRemoteAddr ()
先說說這些請求頭的意思
- X-Forwarded-For
這是一個 Squid 開發(fā)的字段,只有在通過了HTTP代理或者負(fù)載均衡服務(wù)器時才會添加該項(xiàng)。
格式為X-Forwarded-For:client1,proxy1,proxy2,一般情況下,第一個ip為客戶端真實(shí)ip,后面的為經(jīng)過的代理服務(wù)器ip。現(xiàn)在大部分的代理都會加上這個請求頭。
- Proxy-Client-IP/WL- Proxy-Client-IP
這個一般是經(jīng)過apache http服務(wù)器的請求才會有,用apache http做代理時一般會加上Proxy-Client-IP請求頭,而WL-Proxy-Client-IP是他的weblogic插件加上的頭。
- HTTPCLIENTIP
有些代理服務(wù)器會加上此請求頭。
- X-Real-IP Nginx代理一般會加上此請求頭。
下面是一個參考獲取客戶端IP地址的方法:
public
static
String
getIpAddress
(
HttpServletRequest
request
)
{
String
ip
=
request
.
getHeader
(
"x-forwarded-for"
);
if
(
ip
==
null
||
ip
.
length
()
==
0
||
"unknown"
.
equalsIgnoreCase
(
ip
))
{
ip
=
request
.
getHeader
(
"Proxy-Client-IP"
);
}
if
(
ip
==
null
||
ip
.
length
()
==
0
||
"unknown"
.
equalsIgnoreCase
(
ip
))
{
ip
=
request
.
getHeader
(
"WL-Proxy-Client-IP"
);
}
if
(
ip
==
null
||
ip
.
length
()
==
0
||
"unknown"
.
equalsIgnoreCase
(
ip
))
{
ip
=
request
.
getRemoteAddr
();
}
if
(
ip
.
contains
(
","
))
{
return
ip
.
split
(
","
)[
0
];
}
else
{
return
ip
;
}
}
如果使用的是Druid連接池,可以參考使用:com.alibaba.druid.util.DruidWebUtils#getRemoteAddr方法,但這個是經(jīng)過多級代理的IP地址,需要自己處理下獲取第一個。
有幾點(diǎn)要注意
- 這些請求頭都不是http協(xié)議里的標(biāo)準(zhǔn)請求頭,也就是說這個是各個代理服務(wù)器自己規(guī)定的表示客戶端地址的請求頭。如果哪天有一個代理服務(wù)器軟件用oooo-client-ip這個請求頭代表客戶端請求,那上面的代碼就不行了。
- 這些請求頭不是代理服務(wù)器一定會帶上的,網(wǎng)絡(luò)上的很多匿名代理就沒有這些請求頭,所以獲取到的客戶端ip不一定是真實(shí)的客戶端ip。代理服務(wù)器一般都可以自定義請求頭設(shè)置。
- 即使請求經(jīng)過的代理都會按自己的規(guī)范附上代理請求頭,上面的代碼也不能確保獲得的一定是客戶端ip。不同的網(wǎng)絡(luò)架構(gòu),判斷請求頭的順序是不一樣的。
- 最重要的一點(diǎn),請求頭都是可以偽造的。如果一些對客戶端校驗(yàn)較嚴(yán)格的應(yīng)用(比如投票)要獲取客戶端ip,應(yīng)該直接使用ip=request.getRemoteAddr(),雖然獲取到的可能是代理的ip而不是客戶端的ip,但這個獲取到的ip基本上是不可能偽造的,也就杜絕了刷票的可能。(有分析說arp欺騙+syn有可能偽造此ip,如果真的可以,這是所有基于TCP協(xié)議都存在的漏洞),這個ip是tcp連接里的ip。
