负载或反向代理服务器如何配置XFF以获取终端真实IP

文章目录

XFF介绍
- - 工作原理
  - 注意事项
配置方式
- - 1. Nginx
  - 2. HAProxy
  - 3. F5 BIG-IP
  - 4. Radware
  - 注意事项

本文介绍如何在反向代理或负载中配置XFF，方便后端服务获取请求来源的真实IP

XFF介绍

X-Forwarded-For（简称XFF）是一个非标准的HTTP头部字段，用于识别通过HTTP代理或负载均衡器转发的HTTP请求的原始客户端IP地址。当客户端通过代理服务器访问Web服务器时，代理服务器会在转发请求时添加或修改此头部，以便在多次代理转发的场景下保留客户端的真实IP地址信息。

工作原理

客户端请求：用户（客户端）通过其本地IP地址向代理服务器发送HTTP请求。
代理转发：代理服务器接收到请求后，会在转发给目标Web服务器之前，在HTTP头部加入X-Forwarded-For字段，内容通常是客户端的IP地址。格式通常为X-Forwarded-For: client_ip, proxy1_ip, proxy2_ip,...，如果有多个代理，会形成一个IP链。
Web服务器接收：最终的Web服务器解析X-Forwarded-For头部，从中获取到原始客户端的IP地址，即使请求已经经过了一个或多个中间节点。

注意事项

安全性：由于X-Forwarded-For头部可以被伪造，因此不能完全信赖其值作为安全验证的基础，特别是在没有其他验证机制配合的情况下。
配置：大多数现代Web服务器和应用框架允许你配置是否信任并使用X-Forwarded-For头部来确定客户端IP，特别是在使用了反向代理或负载均衡器的场景下。
标准化：虽然X-Forwarded-For是非标准头部，但它已经被广泛接受和使用。实际上，有一些新的提案和标准（如RFC 7239中的Forwarded头部）试图提供更规范的方式来处理这一需求，但目前X-Forwarded-For仍然是最常用的方案。

总之，X-Forwarded-For是理解请求在经过代理或负载均衡器时其原始来源的重要工具，但在处理时需谨慎考虑其潜在的安全风险。

配置方式

配置X-Forwarded-For（XFF）通常涉及在负载均衡器或代理服务器上设置，以便正确传递客户端的IP地址信息给后端服务器。不同的负载均衡器和代理软件有着不同的配置方法，下面以几种常见的负载均衡器为例简述配置过程：

1. Nginx

在Nginx配置文件中，可以通过proxy_set_header指令来配置XFF。示例：

http {
    upstream backend {
        server backend1.example.com;
        server backend2.example.com;
    }

    server {
        listen 80;
        location / {
            proxy_pass http://backend;
            proxy_set_header X-Real-IP $remote_addr;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        }
    }
}

这里，$remote_addr是客户端连接到Nginx的IP，$proxy_add_x_forwarded_for包含客户端IP和所有上游代理的IP，Nginx会自动添加客户端IP到现有的XFF头或创建一个新的。

2. HAProxy

在HAProxy配置中，可以通过http-request指令添加XFF头部：

frontend http-in
    bind *:80
    mode http
    option forwardfor
    http-request set-header X-Forwarded-For %[src] unless {req.x-forwarded-for}
    default_backend servers-backend

option forwardfor启用XFF添加，http-request set-header X-Forwarded-For %[src]设置XFF头，其中%[src]代表客户端源IP。unless {req.x-forwarded-for}避免了在已有XFF头时重复添加。