摘要:總結(jié)在作為反向代理的架構(gòu)中,的其他語(yǔ)言也是類似的名稱拿到的將會(huì)是代理的地址。本意就是遠(yuǎn)程的地址,是代理層,轉(zhuǎn)發(fā)請(qǐng)求到,獲取到的遠(yuǎn)程地址實(shí)際上是反向代理服務(wù)器,這是符合協(xié)議規(guī)則的。
nginx反向代理后,在應(yīng)用中取得的ip都是反向代理服務(wù)器的ip,取得的域名也是反向代理配置的url的域名,解決該問(wèn)題,需要在nginx反向代理配置中添加一些配置信息,目的將客戶端的真實(shí)ip和域名傳遞到應(yīng)用程序中。
①:php獲取REMOTE_ADDR就是這樣一個(gè)情況(內(nèi)網(wǎng)地址)。
②:獲取的是攻擊者偽造的ip地址。攻擊者可以隨便偽造一個(gè)頭部信息,隨便填寫(xiě)一個(gè)ip放到頭部發(fā)過(guò)來(lái),php獲取到HTTP_CLIENT_IP就是這樣一個(gè)情況。偽造的ip,導(dǎo)致我們數(shù)據(jù)庫(kù)存儲(chǔ)是假的ip,無(wú)從真實(shí)去判斷攻擊者的來(lái)源。比如批量注冊(cè)帳號(hào)的注冊(cè)ip,登錄的ip等。
配置如下:
location ~* .(jpg|png|gif)$ { proxy_set_header X-Forwarded-For $remote_addr; #proxy_pass http://.... } location ~ .php$ { proxy_set_header X-Forwarded-For $remote_addr; #proxy_pass http://.... }
PHP代碼:
function getIP() { $ip = "unknown"; if (getenv("HTTP_X_FORWARDED_FOR")) { //這個(gè)提到最前面,作為優(yōu)先級(jí),nginx代理會(huì)獲取到用戶真實(shí)ip,發(fā)在這個(gè)環(huán)境變量上,必須要nginx配置這個(gè)環(huán)境變量HTTP_X_FORWARDED_FOR $ip = getenv("HTTP_X_FORWARDED_FOR"); } else if (getenv("REMOTE_ADDR")) { //在nginx作為反向代理的架構(gòu)中,使用REMOTE_ADDR拿到的將會(huì)是反向代理的的ip,即拿到是nginx服務(wù)器的ip地址。往往表現(xiàn)是一個(gè)內(nèi)網(wǎng)ip。 $ip = getenv("REMOTE_ADDR"); } else if ($_SERVER["REMOTE_ADDR"]) { $ip = $_SERVER["REMOTE_ADDR"]; } else if (getenv("HTTP_CLIENT_IP")) { //HTTP_CLIENT_IP攻擊者可以偽造一個(gè)這樣的頭部信息,導(dǎo)致獲取的是攻擊者隨意設(shè)置的ip地址。 $ip = getenv("HTTP_CLIENT_IP"); } return $ip; }
總結(jié)
在nginx作為反向代理的架構(gòu)中,php的REMOTE_ADDR(其他語(yǔ)言也是類似的名稱)拿到的將會(huì)是nginx代理的ip地址。拿不到用戶的真實(shí)ip,拿到是nginx反向代理服務(wù)器地址。
REMOTE_ADDR本意就是遠(yuǎn)程的地址,nginx是代理層,轉(zhuǎn)發(fā)請(qǐng)求到php,php獲取到的遠(yuǎn)程地址實(shí)際上是nginx反向代理服務(wù)器ip,這是符合協(xié)議規(guī)則的。
但是,可以讓nginx幫助我們拿到用戶的真實(shí)ip,寫(xiě)到一個(gè)環(huán)境變量中,然后轉(zhuǎn)發(fā)給我們,只要按照某個(gè)約定的名稱即可,比如約定名稱為HTTP_X_FORWARD_FOR(也可以約定其他名稱,關(guān)鍵看nginx中配置,可以全公司考慮統(tǒng)一)。
nginx配置類似于這樣:
fastcgi_param HTTP_X_FORWARD_FOR $remote_addr;
上一句的目的是,將HTTP_X_FORWARD_FOR的值設(shè)置為$remote_addr的值。也就是將用戶真實(shí)的ip(或用戶使用代理的ip)放到HTTP_X_FORWARD_FOR中去。
$remote_addr是nginx的內(nèi)置變量,這個(gè)變量它得到是用戶真實(shí)的ip地址(用戶使用了代理,則就是代理的ip地址)。
于是在php端通過(guò)getenv("HTTP_X_FORWARDED_FOR")就可以獲取到nginx傳遞過(guò)來(lái)的值,是用戶真實(shí)的ip地址。
文章版權(quán)歸作者所有,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請(qǐng)注明本文地址:http://specialneedsforspecialkids.com/yun/28171.html
摘要:總結(jié)在作為反向代理的架構(gòu)中,的其他語(yǔ)言也是類似的名稱拿到的將會(huì)是代理的地址。本意就是遠(yuǎn)程的地址,是代理層,轉(zhuǎn)發(fā)請(qǐng)求到,獲取到的遠(yuǎn)程地址實(shí)際上是反向代理服務(wù)器,這是符合協(xié)議規(guī)則的。 nginx反向代理后,在應(yīng)用中取得的ip都是反向代理服務(wù)器的ip,取得的域名也是反向代理配置的url的域名,解決該問(wèn)題,需要在nginx反向代理配置中添加一些配置信息,目的將客戶端的真實(shí)ip和域名傳遞到應(yīng)用程...
摘要:它是一個(gè)高性能的和反向代理服務(wù)器,同時(shí)也可以作為的代理服務(wù)器。如果相對(duì)域名或參數(shù)字符串起作用,可以使用全局變量匹配,也可以使用反向代理。 nginx是什么? nginx是俄羅斯人 Igor Sysoev為俄羅斯訪問(wèn)量第二的Rambler.ru站點(diǎn)開(kāi)發(fā)的一個(gè)十分輕量級(jí)的HTTP服務(wù)器。它是一個(gè)高性能的HTTP和反向代理服務(wù)器,同時(shí)也可以作為IMAP/POP3/SMTP的代理服務(wù)器。ngi...
摘要:配置文件學(xué)習(xí)筆記定義運(yùn)行的用戶和用戶組進(jìn)程數(shù),建議設(shè)置為等于總核心數(shù)全局錯(cuò)誤日志定義類型,進(jìn)程文件指定進(jìn)程可以打開(kāi)的最大描述符數(shù)目工作模式與連接數(shù)上限這個(gè)指令是指當(dāng)一個(gè)進(jìn)程打開(kāi)的最多文件描述符數(shù)目,理論值應(yīng)該是最多打開(kāi)文件數(shù)與進(jìn)程數(shù)相除, Nginx配置文件學(xué)習(xí)筆記 定義Nginx運(yùn)行的用戶和用戶組 user nginx; Nginx進(jìn)程數(shù),建議設(shè)置為等于CPU總核心數(shù) worker...
摘要:配置文件學(xué)習(xí)筆記定義運(yùn)行的用戶和用戶組進(jìn)程數(shù),建議設(shè)置為等于總核心數(shù)全局錯(cuò)誤日志定義類型,進(jìn)程文件指定進(jìn)程可以打開(kāi)的最大描述符數(shù)目工作模式與連接數(shù)上限這個(gè)指令是指當(dāng)一個(gè)進(jìn)程打開(kāi)的最多文件描述符數(shù)目,理論值應(yīng)該是最多打開(kāi)文件數(shù)與進(jìn)程數(shù)相除, Nginx配置文件學(xué)習(xí)筆記 定義Nginx運(yùn)行的用戶和用戶組 user nginx; Nginx進(jìn)程數(shù),建議設(shè)置為等于CPU總核心數(shù) worker...
閱讀 2986·2021-11-23 09:51
閱讀 2798·2021-11-11 16:55
閱讀 2907·2021-10-14 09:43
閱讀 1394·2021-09-23 11:22
閱讀 1035·2019-08-30 11:04
閱讀 1663·2019-08-29 11:10
閱讀 956·2019-08-27 10:56
閱讀 3102·2019-08-26 12:01