使用HTTP_X_FORWARDED_FOR獲取客戶端IP的嚴重后果

更新時間：2009年11月30日 19:17:53 作者：

我的建議是不要再使用上面的方法去獲取客戶端IP.即是不要再理會代理情況.

在WEB開發(fā)中.我們可能都習慣使用下面的代碼來獲取客戶端的IP地址:
C#代碼

 
//優(yōu)先取得代理IP 
string IP = Request.ServerVariables["HTTP_X_FORWARDED_FOR"]; 
if (string.IsNullOrEmpty(IP)) { 
//沒有代理IP則直接取連接客戶端IP 
IP = Request.ServerVariables["REMOTE_ADDR"]; 
} 

上面代碼看來起是正常的.可惜這里卻隱藏了一個隱患!!因為"HTTP_X_FORWARDED_FOR"這個值是通過獲取HTTP頭的"X_FORWARDED_FOR"屬性取得.所以這里就提供給惡意破壞者一個辦法:可以偽造IP地址!!
下面是測試代碼:

復制代碼代碼如下:

 
HttpWebRequest request = (HttpWebRequest)HttpWebRequest.Create("http://localhost/ip.aspx"); 
request.Headers.Add("X_FORWARDED_FOR", "0.0.0.0"); 
HttpWebResponse response = (HttpWebResponse)request.GetResponse(); 
StreamReader stream = new StreamReader(response.GetResponseStream()); 
string IP = stream.ReadToEnd(); 
stream.Close(); 
response.Close(); 
request = null; 

"ip.aspx"文件代碼:

復制代碼代碼如下:

 
Response.Clear(); 
//優(yōu)先取得代理IP 
string IP = Request.ServerVariables["HTTP_X_FORWARDED_FOR"]; 
if (string.IsNullOrEmpty(IP)) 
{ 
//沒有代理IP則直接取客戶端IP 
IP = Request.ServerVariables["REMOTE_ADDR"]; 
} 
Response.Write(IP); 
Response.End(); 

這樣.當測試代碼中去訪問ip.aspx文件時."string IP = stream.ReadToEnd();"這段代碼取到的IP數(shù)據(jù)就是"0.0.0.0"!!!!(呵.在真實情況下.這樣的IP地址肯定不是我們想要的結果.而在有些投票系統(tǒng)中限制一個IP只能投1次票時,如果也是用類似的代碼取得對方IP然后再判斷的話.呵呵.限制就失效咯)...

或者如果你用上面代碼獲取IP地址后后面又不再進行數(shù)據(jù)判斷的話也許還能更進一步進行數(shù)據(jù)破壞!!
比如你用類似上面的代碼中獲取IP地址就直接有這樣的SQL語句:
string sql = "INSERT INTO (IP) VALUE ('" + IP + "')";
那么也許破壞者還可以進行SQL注入進行數(shù)據(jù)破壞!!

這樣看來利用"HTTP_X_FORWARDED_FOR"這個屬性獲取客戶端IP的方法就不再可取了.-_-# 但如果不用這種方法.那么那些真正使用了代理服務器的人.我們又不能再獲取到他們的真實IP地址(因為某些代理服務器會在"X_FORWARDED_FOR"這個HTTP頭里加上訪問用戶真正的IP地址).呵.現(xiàn)實就是這樣,某種東西都有有得必有失...

最后,我的建議是不要再使用上面的方法去獲取客戶端IP.即是不要再理會代理情況.你的建議又是怎樣呢???

您可能感興趣的文章: