Wie verwende ich HTTP_X_FORWARDED_FOR richtig?

Okay, ich habe einen kleinen Authentifizierungs-Problem. Meine web-service ermöglicht es, eine Verbindung zu meinem API über HTTP mit einem Benutzernamen und Kennwort, aber diese Verbindung kann auch beschränkt sein auf eine bestimmte IP-Adresse.

Dies bedeutet, dass die $_SERVER['REMOTE_ADDR'] kann falsch sein. Ich weiß schon, dass Sie alle IP-Informationen können Sie niemals ganz verlassen werden - ich habe die Einschränkung nur in einem Versuch, fügen Sie eine weitere Schicht der Sicherheit.

Wenn dies der Allgemeine überblick über eine Anfrage zu meinem web-server:

clientSERVER => clientPROXY => myPROXY => mySERVER

Ist, dann bedeutet dies, dass mySERVER zeigt REMOTE_ADDR von myPROXY statt, der client und sendet die aktuelle IP des Clients als HTTP_X_FORWARDED_FOR.

Überwinden, meine web-service hat eine Liste von "trusted proxy" die IP-Adressen und wenn REMOTE_ADDR ist von einem dieser vertrauenswürdigen IP-Adressen, dann sagt es meine web-service, der die tatsächliche IP-Adresse ist der Wert, der HTTP_X_FORWARDED_FOR.

Nun das problem mit clientPROXY. Dies bedeutet, dass (sehr oft) mySERVER bekommt HTTP_X_FORWARDED_FOR Wert, der mehrere IP-Adressen hat. Nach HTTP_X_FORWARDED_FOR Dokumentation, der Wert ist eine Komma-getrennte Liste von IP-Adressen, von denen die erste IP ist die eigentliche echte client-und jede IP-Adresse ist, die von einem proxy.

So, wenn HTTP_X_FORWARDED_FOR hat mehrere Werte, und mein Dienst ist der IP-Bereich eingeschränkt ist, muss ich überprüfen Sie die 'Letzte' Wert HTTP_X_FORWARDED_FOR gegen meine erlaubten IP-Liste und ignorieren die tatsächliche client-IP?

Ich gehe davon aus, dass in einem system, wo habe ich die Liste der zulässigen IP-Adressen, die in der Whitelist die IP-Adresse sollte sein, dass ein proxy und nicht eine IP hinter dem proxy (denn das könnte eine localhost-IP-und ändern sich Häufig).

Und was HTTP_CLIENT_IP?

InformationsquelleAutor der Frage kingmaple | 2012-07-12

  1. 15

    Können Sie diese Funktion verwenden, um die ordnungsgemäße client-IP:

    public function getClientIP(){       
     if (array_key_exists('HTTP_X_FORWARDED_FOR', $_SERVER)){
            return  $_SERVER["HTTP_X_FORWARDED_FOR"];  
     }else if (array_key_exists('REMOTE_ADDR', $_SERVER)) { 
            return $_SERVER["REMOTE_ADDR"]; 
     }else if (array_key_exists('HTTP_CLIENT_IP', $_SERVER)) {
            return $_SERVER["HTTP_CLIENT_IP"]; 
     } 

     return '';
}

    InformationsquelleAutor der Antwort Hrishikesh Mishra

  2. 14

    Ich wie Hrishikesh ' s Antwort, auf die ich nur noch dieses hinzuzufügen...da sahen wir eine Komma-separierte string herüber kommen, wenn mehrere proxies entlang des Weges verwendet wurden, fanden wir es notwendig, um ein explodieren und schnappen Sie sich den letzten Wert, wie das ist:

    $IParray=array_values(array_filter(explode(',',$_SERVER['HTTP_X_FORWARDED_FOR'])));
return end($IParray);

    den array_filter ist in es zu löschen, leeren Einträge.

    InformationsquelleAutor der Antwort user336828

  3. 7

    Im Licht der neuesten httpoxy Schwachstellen, es gibt wirklich eine Notwendigkeit für ein vollständiges Beispiel, wie man mit HTTP_X_FORWARDED_FOR richtig.

    Also hier ist ein Beispiel in PHP geschrieben, wie zu erkennen, eine client-IP-Adresse, wenn Sie wissen, dass die client-Computer möglicherweise hinter einem proxy und du kennst diese proxy vertrauenswürdig ist. Wenn Sie nicht allen bekannt vertrauenswürdigen proxies, verwenden Sie einfach REMOTE_ADDR

    <?php

function get_client_ip ()
{
    //Nothing to do without any reliable information
    if (!isset ($_SERVER['REMOTE_ADDR'])) {
        return NULL;
    }

    //Header that is used by the trusted proxy to refer to
    //the original IP
    $proxy_header = "HTTP_X_FORWARDED_FOR";

    //List of all the proxies that are known to handle 'proxy_header'
    //in known, safe manner
    $trusted_proxies = array ("2001:db8::1", "192.168.50.1");

    if (in_array ($_SERVER['REMOTE_ADDR'], $trusted_proxies)) {

        //Get the IP address of the client behind trusted proxy
        if (array_key_exists ($proxy_header, $_SERVER)) {

            //Header can contain multiple IP-s of proxies that are passed through.
            //Only the IP added by the last proxy (last IP in the list) can be trusted.
            $proxy_list = explode (",", $_SERVER[$proxy_header]);
            $client_ip = trim (end ($proxy_list));

            //Validate just in case
            if (filter_var ($client_ip, FILTER_VALIDATE_IP)) {
                return $client_ip;
            } else {
                //Validation failed - beat the guy who configured the proxy or
                //the guy who created the trusted proxy list?
                //TODO: some error handling to notify about the need of punishment
            }
        }
    }

    //In all other cases, REMOTE_ADDR is the ONLY IP we can trust.
    return $_SERVER['REMOTE_ADDR'];
}

print get_client_ip ();

?>

    InformationsquelleAutor der Antwort Erki A

  4. 1

    Können Sie auch dieses problem lösen via Apache-Konfiguration mit mod_remoteipindem Sie die folgende, um eine conf.d-Datei:

    RemoteIPHeader X-Forwarded-For
RemoteIPInternalProxy 172.16.0.0/12
LogFormat "%a %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined

    InformationsquelleAutor der Antwort zeroimpl

  5. 0

    Wenn Sie es in eine Datenbank, ist dies eine gute Möglichkeit:

    Legen Sie das ip-Feld in der Datenbank auf varchar(250), und verwenden Sie dann diese:

    $theip = $_SERVER["REMOTE_ADDR"];

if (!empty($_SERVER["HTTP_X_FORWARDED_FOR"])) {
    $theip .= '('.$_SERVER["HTTP_X_FORWARDED_FOR"].')';
}

if (!empty($_SERVER["HTTP_CLIENT_IP"])) {
    $theip .= '('.$_SERVER["HTTP_CLIENT_IP"].')';
}

$realip = substr($theip, 0, 250);

    Dann müssen Sie nur überprüfen $realip gegen die Datenbank aus ip-Bereich

    InformationsquelleAutor der Antwort mowgli

  6. -4

    HTTP_CLIENT_IP ist der zuverlässigste Weg, um die IP-Adresse des Benutzers. Weiter ist HTTP_X_FORWARDED_FOR, gefolgt von REMOTE_ADDR. Überprüfen Sie alle drei, in dieser Reihenfolge, unter der Annahme, dass der erste, der eingestellt ist (isset($_SERVER['HTTP_CLIENT_IP']) gibt true zurück, wenn die variable gesetzt ist) korrekt ist. Können Sie eigenständig überprüfen, ob der Benutzer einen proxy mit verschiedenen Methoden. Überprüfen Sie diese.

    InformationsquelleAutor der Antwort TheEnvironmentalist

Schreibe einen Kommentar