Парсить содержимое HTTP_X_FORWARDED_FOR или нет?

Question

[Руслан Хорошкевич]

День добрый.
Есть домен, запись А соответствует ip1. На ip1 стоит проксирующий nginx который делает запись вида:

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Real-IP $remote_addr;

и передает управление на ip2. При использовании прокси до ip1, например сжатие трафика в хроме, HTTP_X_REAL_IP содержит ip прокси. Отключаем сжатие и в HTTP_X_REAL_IP уже лежит реальный ip пользователя.
При этом в HTTP_X_FORWARDED_FOR всегда лежит один или более ip разделенных запятой, при этом первым всегда лежит ip клиента.
Суть вопроса:
Стоит ли проверять дополнительные поля где может лежать ip, или проще просто парсить содержимое HTTP_X_FORWARDED_FOR ?

Answer 1

[SagePtr]

X-Forwarded-For содержит цепочку адресов, которые были переданы клиентом, каждый последующий прокси в цепочке (если он так сконфигурирован) добавляет туда адрес, с которого был совершён запрос. Соответственно, доверия к этим адресам быть никакого не может, клиент может что угодно туда вписать.
X-Real-IP - это тот IP-адрес, с которого был произведён запрос к nginx. Доверие к нему возможно в том случае, если бэкенд невозможно запросить, минуя ваш nginx (в противном случае - туда тоже можно передать всё что угодно).

Comments

[Руслан Хорошкевич]

Миновать мой nginx никак не выйдет ip2 это контейнер спрятанный за ip1. И X-Forwarded-For и X-Real-IP заполняю сам на ip1.

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Real-IP $remote_addr;

Тут скорее вопрос к доверию $proxy_add_x_forwarded_for и $remote_addr.
Я пока еще сильно плаваю в этой теме, но вот как раз хотел бы понять насколько эти переменные заслуживают доверия.

[SagePtr]

Руслан Хорошкевич, $remote_addr - это адрес, с которого был произведён запрос к nginx.
$proxy_add_x_forwarded_for
поле заголовка запроса клиента “X-Forwarded-For” и добавленная к нему через запятую переменная $remote_addr. Если же поля “X-Forwarded-For” в заголовке запроса клиента нет, то переменная $proxy_add_x_forwarded_for равна переменной $remote_addr.

[Руслан Хорошкевич]

Я правильно понимаю, что такой конструкцией

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

я перезаписываю любой входящий X-Forwarded-For?

[SagePtr]

Руслан Хорошкевич, да, перезаписываете его на новый, содержащий старый (если есть) + $remote_addr

[Руслан Хорошкевич]

SagePtr, Спасибо.
Т.е. можно смело использовать как относительно верное значение и как я понимаю оно будет точнее любого http.
Я понимаю, подделать можно все, но для подделки $proxy_add_x_forwarded_for нужно больше усилий приложить. Правильно?

[SagePtr]

Руслан Хорошкевич, в $proxy_add_x_forwarded_for доверять можно только последнему адресу в списке адресов (который совпадает с $remote_addr). Остальным адресам в этом списке доверять нельзя.

[Руслан Хорошкевич]

SagePtr, Получается, если есть требование хранить ip, то правильнее будет хранить $remote_addr, а $proxy_add_x_forwarded_for использовать как вспомогательное поле. Если возникнут неясности с первым, вот вам посмотрите всю цепочку.

[FanatPHP]

Чтобы было понятнее, X_FORWARDER_FOR, это HTTP заголовок. Подделать его может даже третьеклассник из школы для детей с задержками в развитии.

[SagePtr]

Руслан Хорошкевич, да, именно так. Хранить-то можно и IP, и X-Forwarded-For, но исходя из X-Forwarded-For не производить автоматизированных действий вроде блокировки.

[Руслан Хорошкевич]

SagePtr, Еще раз спасибо. И нет, это не для блокировок, их у нас и без меня полно.
FanatPHP, :)