我想知道使用jsp方法request.getRemoteAddr();.
的安全问题我想过滤一些客户端IP(我不能使用防火墙: - ()。
我想知道攻击者可以通过这种方式更改HTTP请求的IP源吗?
或者客户端ip是从第3层构建的吗?
我想检查此方法的安全性以防止伪造HTTP请求(类似于ip欺骗,而不是基于第3层IP)。
感谢所有人,
安德烈
答案 0 :(得分:1)
HTTP请求的“客户端”IP地址实际上是最后一个HTTP代理的IP。客户端无法欺骗它,但如果客户端使用代理(许多人都这样做),那么IP地址对于识别请求的来源将没有多大帮助。
我只想确保所有请求都通过代理来到我的服务器,我不希望客户端可以更改此信息,以便让服务器认为它来自代理服务器不......
理论上客户端可以欺骗代理的IP地址,但这并不容易。