Re: geoip и прокси

Ср Фев 3 22:17:57 UTC 2016

Здравствуйте, Илья.

Вы писали 4 февраля 2016 г., 2:32:16:

> мы пишем вот такую штуку 

> map $http_x_forwarded_for $r_ip {
> '' $remote_addr;
> default $http_x_forwarded_for;
> }

В такой конфигурации вы абсолютно доверяете присланному вам (кем угодно)
заголовку X-Forwarded-For. Атакующий может подставить туда любые данные, в т.ч и
не IP. Использовать полученное таким образом в качестве "настоящего IP
пользователя" категорически нельзя.

> чем в данном случае помогает то, что я знаю ip-адрес серверов оперы или яндекса ?

Указав список этих адресов, вы можете принимать заголовок X-Forwarded-For только от них.
Полученному таким образом значению IP пользователя можно доверять в несколько большей
степени.

-- 
С уважением,
 Pavel                          mailto:pavel2000 at ngs.ru