nginx x-forwarded-for的深度挖掘

nginx x-forwarded-for的深度挖掘

 (2011-04-04 23:55:55)

转载

标签：  杂谈

　　如今利用nginx做负载均衡的实例已经很多了，针对不同的应用场合，还有很多需要留意的地方，本文要说的就是在通过CDN 后到达nginx做负载均衡时请求头中的X-Forwarded-For项到底发生了什么变化。下图为简单的web架构图：

　　先来看一下X-Forwarded-For的定义：

　　X-Forwarded-For:简称XFF头，它代表客户端，也就是HTTP的请求端真实的IP，只有在通过了HTTP 代理或者负载均衡服务器时才会添加该项。它不是RFC中定义的标准请求头信息，在squid缓存代理服务器开发文档中可以找到该项的具体先容。

　　标准格式如下：

　　X-Forwarded-For: client1, proxy1, proxy2

　　从标准格式可以看出，X-Forwarded-For头信息可以有多个，中间用逗号分隔，第一项为真实的客户端ip，剩下的就是曾经经过的代理或负载均衡的ip地址，经过几个就会出现几个。

　　按照上图的Web架构图，可以很轻易的看出，当用户请求经过CDN后到达Nginx负载均衡服务器时，其X-Forwarded-For头信息应该为客户端IP,CDN的IP。但实际情况并非如此，一般情况下CDN服务商为了自身安全考虑会将这个信息做些改动，只保存客户端IP。我们可以通过php程序获得X-Forwarded-For信息或者通过Nginx的add header方法来设置返回头来查看。

　　下面来分析请求头到达Nginx负载均衡服务器的情况；在默认情况下，Nginx并不会对X-Forwarded-For头做任何的处理，除非用户使用proxy_set_header 参数设置：

　　proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

　　$proxy_add_x_forwarded_for变量包含客户端请求头中的"X-Forwarded-For"，与$remote_addr用逗号分开，假如没有"X-Forwarded-For" 请求头，则$proxy_add_x_forwarded_for即是$remote_addr。

　　$remote_addr变量的值是客户真个IP

　　当Nginx设置X-Forwarded-For即是$proxy_add_x_forwarded_for后会有两种情况发生

　　1、假如从CDN过来的请求没有设置X-Forwarded-For头（通常这种事情不会发生），而到了我们这里Nginx设置将其设置为$proxy_add_x_forwarded_for的话，X-Forwarded-For的信息应该为CDN的IP，由于相对于Nginx负载均衡来说客户端即为CDN，这样的话，后真个web程序时死活也获得不了真实用户的IP的。

　　2、CDN设置了X-Forwarded-For，我们这里又设置了一次，且值为$proxy_add_x_forwarded_for的话，那么X-Forwarded-For的内容变成 "客户端IP,Nginx负载均衡服务器IP"假如是这种情况的话，那后真个程序通过X-Forwarded-For获得客户端IP，则取逗号分隔的第一项即可。

　　如上两点所说，假如我们知道了CDN设置了X-Forwarded-For信息，且只有客户端真实的IP的话，那么我们的Nginx负载均衡服务器可以不必理会该头，让它默认即可。

　　实在Nginx中还有一个$http_x_forwarded_for变量，这个变量中保存的内容就是请求中的X-Forwarded-For信息。假如后端获得X-Forwarded-For信息的程序兼容性不好的话（没有考虑到X-Forwarded-For含有多个IP的情况），最好就不要将X-Forwarded-For设置为$proxy_add_x_forwarded_for。应该设置为$http_x_forwarded_for或者干脆不设置！好看的小说

　　参考文章： http://en.wikipedia.org/wiki/X-Forwarded-For

http://salogs.com/category/%E8%B4%9F%E8%BD%BD%E5%9D%87%E8%A1%A1/