简介

在使用 nginx 做反向代理时,后端要获取到客户端 IP,需要在 nginx 上设置对应的配置。

设置转发请求头

设置 HTTP 请求头中的 X-Forwarded-For,X-Real-IP

    ...
            location / {
            proxy_set_header X-Real-IP $remote_addr;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            # proxy_set_header X-Forwarded-For $remote_addr;
            proxy_pass   http://127.0.0.1:8080;
        }
    ...

X-Real-IP 如果有多层转发,只要在第一层设置就可以了,防止变量被覆盖。 X-Forwarded-For 由于取前一个的值,相当于经过 nginx 代理就会追加一个 IP,只要获取第一个就是真实的客户端 IP。

后端获取

  1. 先获取 X-Real-IP
  2. 如果获取不到 X-Real-IP,通过 X-Forwarded-For 取
  3. 如果再取不到,就直接取 remote_addr

nginx 配置 X-Forwarded-For 的风险

用户可以通过自己设置请求头来伪造 ip。

比如在发起 http 请求时设置请求头 x-forwarded-for:1.1.1.1。

那么服务器通过 x-forwarded-for 获取到的第一个 ip 就是用户伪造的 ip。

防止伪造方案

  • 在只有 1 层 nginx 代理的情况下,设置 nginx 配置
proxy_set_header X-Forwarded-For $remote_addr;

此时$remote_addr 获取的是用户的真实 ip

  • 在有多层反向代理的情况下

    1. 设置 最外层 nginx 配置和情况 只有一层代理 一样
    proxy_set_header X-Forwarded-For $remote_addr;
    1. 除了最外层之外的 nginx 配置
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

这样就防止了用户通过伪造请求头来伪造真实 ip。

后台只需要从 x-forwarded-for 请求头中取出第一个 ip 就是用户的真实 ip。

后面如果有多个 ip,就是反向代理的 ip

X-Real-IP

只要 第一层 nginx 代理情况下只需配置即可:

proxy_set_header X-Real-IP $remote_addr;

当有多层反向代理时,只能在最外层代理设置

proxy_set_header X-Real-IP $remote_addr;

如果在非最外层设置,则获取到的是反向代理机器的 ip