从服务器 JSP 获取客户端 IP [安全]

Question

我想知道使用jsp方法request.getRemoteAddr();的安全问题。

我想过滤一些客户端IP（我不能使用防火墙:-()。

我想知道攻击者可以通过这种方式更改HTTP请求的IP源？

或者客户端IP是从第3层构建的？

我想检查 类似于基于第 3 层 IP 的 IP 欺骗）

该方法针对伪造 HTTP 请求的安全性（

。

Answer 1

HTTP请求的“客户端”IP地址实际上是最后一个HTTP代理的IP。客户端无法欺骗它，但如果客户端使用代理（很多人都这样做），那么 IP 地址对于识别请求的来源不会有太大帮助。

---

我只想确保所有请求都通过代理到达我的服务器，并且我不希望客户端可以更改此信息，以便让服务器认为该请求来自代理不...

客户端可以欺骗代理的IP地址，但这并不容易。