<div dir="ltr"><div><div>ok, идею понял.<br><br></div>а не лучше будет отличать оперу и яндекс по useragent?<br></div>который мы знаем с большей степенью достоверности, чем адреса этих проксей.<br><br><br></div><div class="gmail_extra"><br><div class="gmail_quote">4 февраля 2016 г., 3:17 пользователь Pavel V. <span dir="ltr"><<a href="mailto:pavel2000@ngs.ru" target="_blank">pavel2000@ngs.ru</a>></span> написал:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Здравствуйте, Илья.<br>
<br>
Вы писали 4 февраля 2016 г., 2:32:16:<br>
<span class=""><br>
> мы пишем вот такую штуку<br>
<br>
> map $http_x_forwarded_for $r_ip {<br>
> '' $remote_addr;<br>
> default $http_x_forwarded_for;<br>
> }<br>
<br>
</span>В такой конфигурации вы абсолютно доверяете присланному вам (кем угодно)<br>
заголовку X-Forwarded-For. Атакующий может подставить туда любые данные, в т.ч и<br>
не IP. Использовать полученное таким образом в качестве "настоящего IP<br>
пользователя" категорически нельзя.<br>
<span class=""><br>
> чем в данном случае помогает то, что я знаю ip-адрес серверов оперы или яндекса ?<br>
<br>
</span>Указав список этих адресов, вы можете принимать заголовок X-Forwarded-For только от них.<br>
Полученному таким образом значению IP пользователя можно доверять в несколько большей<br>
степени.<br>
<span class="HOEnZb"><font color="#888888"><br>
<br>
--<br>
С уважением,<br>
 Pavel                          mailto:<a href="mailto:pavel2000@ngs.ru">pavel2000@ngs.ru</a><br>
</font></span><div class="HOEnZb"><div class="h5"><br>
_______________________________________________<br>
nginx-ru mailing list<br>
<a href="mailto:nginx-ru@nginx.org">nginx-ru@nginx.org</a><br>
<a href="http://mailman.nginx.org/mailman/listinfo/nginx-ru" rel="noreferrer" target="_blank">http://mailman.nginx.org/mailman/listinfo/nginx-ru</a></div></div></blockquote></div><br></div>