zoukankan      html  css  js  c++  java
  • F5 Http profile 的 insert x-forward-for

    场景:当使用F5进行http proxy时,我们希望node服务器能正确获取来源IP地址。

    试验:

    • 使用开启了insert x-forward-for选项的http profile。
    • 客户端地址:192.168.200.1,F5 VIP: 192.168.200.70 , F5 internel IP: 172.30.16.12,node IP: 172.30.10.100
    • 从客户端发送一个http request。发现发送到后台node的http header的最后一行会包括一个X-Forwarded-For :192.168.200.1的头信息。

    使用Java servlet API - request.getHeader("X-Forwarded-For")获得的值为:192.168.200.1

    (如果在后台服务器中间架个squid,则squid默认会开启X-Forwarded-For,此时squid会在该值后面附加一个, 172.30.16.12。此时使用Java servlet API - request.getHeader("X-Forwarded-For")获得的值为:192.168.200.1, 172.30.16.12)

    • 在客户端使用jmeter发送一个包含X-Forwarded-For:221.221.221.3的request。用tcpdump发现发送到node的header中有2个Forward头,即X-Forwarded-For:221.221.221.3和X-Forwarded-For :192.168.200.1。

    使用Java servlet API - request.getHeader("X-Forwarded-For")获得的值为:221.221.221.3。

    (如果在后台服务器中间架个squid,则squid默认会开启X-Forwarded-For,此时squid会把2个forward头变成1个,并且在该值后面附加一个, 172.30.16.12。此时使用Java servlet API - request.getHeader("X-Forwarded-For")获得的值为:221.221.221.3, 192.168.200.1, 172.30.16.12)

      • 这说明forward头时可以伪造的,如果不信任客户端发送到F5的X-Forwarded-For头,则可以使用F5的irule删除客户端的XFF,如下所示:

        when HTTP_REQUEST {
        HTTP::header remove X-Forwarded-For
        HTTP::header insert X-Forwarded-For [IP::client_addr]
        }

      • 或者

        when HTTP_REQUEST {
        if {[HTTP::header exists X-Forwarded-For]}{
        set old_xff [HTTP::header values X-Forwarded-For]
        HTTP::header remove X-Forwarded-For
        HTTP::header insert X-Forwarded-For_Org "[IP::client_addr], $old_xff"
        } else { 
        HTTP::header insert X-Forwarded-For [IP::client_addr]
        }
        }

  • 相关阅读:
    Webwork【04】Configuration 详解
    Webwork【03】核心类 ServletDispatcher 的初始化
    Webwork【02】前端OGNL试练
    Webwork【01】Webwork与 Struct 的前世今生
    Oracle 数据库日常巡检
    php jquery ajax select 二级联动【get方式】
    PHP+ajax实现二级联动【post+json方式】
    thinkphp中在页面怎么格式输出小数和时间
    DataTables Bootstrap 3 example
    Bootstrap表格动态加载内容和排序功能
  • 原文地址:https://www.cnblogs.com/zhxiaoxiao/p/12169525.html
Copyright © 2011-2022 走看看