在JSP里,獲取客戶端的IP地址的方法是:request.getRemoteAddr(),這種方法在大部分情況下都是有效的。但是在通過了Apache,Squid等反向代理軟件就不能獲取到客戶端的真實IP地址了。
如果使用了反向代理軟件,將http://192.168.1.110:2046/的URL反向代理為http://www.abc.com/的URL時,用request.getRemoteAddr()方法獲取的IP地址是:127.0.0.1或192.168.1.110,而并不是客戶端的真實IP。
經過代理以后,由于在客戶端和服務之間增加了中間層,因此服務器無法直接拿到客戶端的IP,服務器端應用也無法直接通過轉發請求的地址返回給客戶端。但是在轉發請求的HTTP頭信息中,增加了X-FORWARDED-FOR信息。用以跟蹤原有的客戶端IP地址和原來客戶端請求的服務器地址。
當我們訪問http://www.abc.com/index.jsp/時,其實并不是我們瀏覽器真正訪問到了服務器上的index.jsp文件,而是先由代理服務器去訪問http://192.168.1.110:2046/index.jsp,代理服務器再將訪問到的結果返回給我們的瀏覽器,因為是代理服務器去訪問index.jsp的,所以index.jsp中通過request.getRemoteAddr()的方法獲取的IP實際上是代理服務器的地址,并不是客戶端的IP地址。
外界流傳的JAVA/php服務器端獲取客戶端IP都是這么取的:
偽代碼:
1)ip = request.getHeader("X-FORWARDED-FOR ")
2)如果該值為空或數組長度為0或等于"unknown",那么:
ip = request.getHeader("Proxy-Client-IP")
3)如果該值為空或數組長度為0或等于"unknown",那么:
ip = request.getHeader("WL-Proxy-Client-IP")
4)如果該值為空或數組長度為0或等于"unknown",那么:
ip = request.getHeader("HTTPCLIENTIP")
5)如果該值為空或數組長度為0或等于"unknown",那么:
ip = request.getHeader("X-Real-IP")
6)如果該值為空或數組長度為0或等于"unknown",那么:
ip = request.getRemoteAddr ()
先說說這些請求頭的意思
- X-Forwarded-For
這是一個 Squid 開發的字段,只有在通過了HTTP代理或者負載均衡服務器時才會添加該項。
格式為X-Forwarded-For:client1,proxy1,proxy2,一般情況下,第一個ip為客戶端真實ip,后面的為經過的代理服務器ip。現在大部分的代理都會加上這個請求頭。
- Proxy-Client-IP/WL- Proxy-Client-IP
這個一般是經過apache http服務器的請求才會有,用apache http做代理時一般會加上Proxy-Client-IP請求頭,而WL-Proxy-Client-IP是他的weblogic插件加上的頭。
- HTTPCLIENTIP
有些代理服務器會加上此請求頭。
- X-Real-IP Nginx代理一般會加上此請求頭。
下面是一個參考獲取客戶端IP地址的方法:
public
static
String
getIpAddress
(
HttpServletRequest
request
)
{
String
ip
=
request
.
getHeader
(
"x-forwarded-for"
);
if
(
ip
==
null
||
ip
.
length
()
==
0
||
"unknown"
.
equalsIgnoreCase
(
ip
))
{
ip
=
request
.
getHeader
(
"Proxy-Client-IP"
);
}
if
(
ip
==
null
||
ip
.
length
()
==
0
||
"unknown"
.
equalsIgnoreCase
(
ip
))
{
ip
=
request
.
getHeader
(
"WL-Proxy-Client-IP"
);
}
if
(
ip
==
null
||
ip
.
length
()
==
0
||
"unknown"
.
equalsIgnoreCase
(
ip
))
{
ip
=
request
.
getRemoteAddr
();
}
if
(
ip
.
contains
(
","
))
{
return
ip
.
split
(
","
)[
0
];
}
else
{
return
ip
;
}
}
如果使用的是Druid連接池,可以參考使用:com.alibaba.druid.util.DruidWebUtils#getRemoteAddr方法,但這個是經過多級代理的IP地址,需要自己處理下獲取第一個。
有幾點要注意
- 這些請求頭都不是http協議里的標準請求頭,也就是說這個是各個代理服務器自己規定的表示客戶端地址的請求頭。如果哪天有一個代理服務器軟件用oooo-client-ip這個請求頭代表客戶端請求,那上面的代碼就不行了。
- 這些請求頭不是代理服務器一定會帶上的,網絡上的很多匿名代理就沒有這些請求頭,所以獲取到的客戶端ip不一定是真實的客戶端ip。代理服務器一般都可以自定義請求頭設置。
- 即使請求經過的代理都會按自己的規范附上代理請求頭,上面的代碼也不能確保獲得的一定是客戶端ip。不同的網絡架構,判斷請求頭的順序是不一樣的。
- 最重要的一點,請求頭都是可以偽造的。如果一些對客戶端校驗較嚴格的應用(比如投票)要獲取客戶端ip,應該直接使用ip=request.getRemoteAddr(),雖然獲取到的可能是代理的ip而不是客戶端的ip,但這個獲取到的ip基本上是不可能偽造的,也就杜絕了刷票的可能。(有分析說arp欺騙+syn有可能偽造此ip,如果真的可以,這是所有基于TCP協議都存在的漏洞),這個ip是tcp連接里的ip。
