2

特定の地域のユーザー向けに、特定のセキュリティやその他の機能を実装したいと考えています。「HTTP_X_FORWARDED_FOR」と「HTTP_CLIENT_IP」が偽造される可能性があることは承知していますが、それらがヘッダーにある、または REMOTE_ADDR とは異なる実際の正当な理由はありますか? 誰でも例を挙げることができますか?

IP が一致するか、転送された IP 値が空であるユーザーのみにサービスを許可すると、IP ロケーション セキュリティをバイパスしようとしない正当な顧客を除外することになりますか?

4

1 に答える 1

2

非匿名プロキシがこれらのヘッダーを追加する場合があります。たとえば、AOL は数年前にこれを行っていました。

ただし、それらを追加するシステムを制御しない限り、いかなる状況でもそれらを信頼することはできません. この場合、リクエストが実際にこれらのシステムの 1 つである場合にのみヘッダーが使用されるようにする必要があります。また、これらのシステムは、常にヘッダーを追加するか、クライアントが既にヘッダーを送信している場合に適切に置き換えられるようにする必要があります。REMOTE_ADDR

于 2012-12-27T02:34:14.050 に答える