栏目分类:
子分类:
返回
文库吧用户登录
快速导航关闭
当前搜索
当前分类
子分类
实用工具
热门搜索
文库吧 > IT > 面试经验 > 面试问答

如何安全地在Flask中获取用户的真实IP地址(使用mod_wsgi)?

面试问答 更新时间: 发布时间: IT归档 最新发布 模块sitemap 名妆网 法律咨询 聚返吧 英语巴士网 伯小乐 网商动力

如何安全地在Flask中获取用户的真实IP地址(使用mod_wsgi)?

仅当定义 受信任
代理的列表时,才可以使用该

request.access_route
属性。
__

access_route
属性使用
X-Forwarded-For
header,回退到
REMOTE_ADDR
WSGI变量;后者很好,因为您的服务器确定了这一点;在
X-Forwarded-For
可能已被几乎任何人都设定,但如果你信任的代理正确设置值,然后使用第一个(从端)成为 信任:

trusted_proxies = {'127.0.0.1'}  # define your own setroute = request.access_route + [request.remote_addr]remote_addr = next((addr for addr in reversed(route)          if addr not in trusted_proxies), request.remote_addr)

这样,即使有人用欺骗了

X-Forwarded-For
标头
fake_ip1,fake_ip2
,代理服务器也会添加
,spoof_machine_ip
到末尾,并且上面的代码会将设置
remote_addr
spoof_machine_ip
,无论最外面的代理服务器还有多少个受信任的代理。

这是您的链接文章所谈论的白名单方法(简短地说,就是Rails使用它),以及Zope在11年前实施的方法。

您的ProxyFix方法效果很好,但是您误解了它的作用。它 只是

request.remote_addr
;
request.access_route
属性不变(中间件 调整
X-Forwarded-For
头)。 但是
,我会非常谨慎地盲目计算代理。

将相同的白名单方法应用于中间件如下所示:

class WhitelistRemoteAddrFix(object):    """This middleware can be applied to add HTTP proxy support to an    application that was not designed with HTTP proxies in mind.  It    only sets `REMOTE_ADDR` from `X-Forwarded` headers.    Tests proxies against a set of trusted proxies.    The original value of `REMOTE_ADDR` is stored in the WSGI environment    as `werkzeug.whitelist_remoteaddr_fix.orig_remote_addr`.    :param app: the WSGI application    :param trusted_proxies: a set or sequence of proxy ip addresses that can be trusted.    """    def __init__(self, app, trusted_proxies=()):        self.app = app        self.trusted_proxies = frozenset(trusted_proxies)    def get_remote_addr(self, remote_addr, forwarded_for):        """Selects the new remote addr from the given list of ips in        X-Forwarded-For.  Picks first non-trusted ip address.        """        if remote_addr in self.trusted_proxies: return next((ip for ip in reversed(forwarded_for)   if ip not in self.trusted_proxies),  remote_addr)    def __call__(self, environ, start_response):        getter = environ.get        remote_addr = getter('REMOTE_ADDR')        forwarded_for = getter('HTTP_X_FORWARDED_FOR', '').split(',')        environ.update({ 'werkzeug.whitelist_remoteaddr_fix.orig_remote_addr': remote_addr,        })        forwarded_for = [x for x in [x.strip() for x in forwarded_for] if x]        remote_addr = self.get_remote_addr(remote_addr, forwarded_for)        if remote_addr is not None: environ['REMOTE_ADDR'] = remote_addr        return self.app(environ, start_response)

明确地说:该中间件也 设置

request.remote_addr
;
request.access_route
仍然不受影响。



转载请注明:文章转载自 www.wk8.com.cn
本文地址:https://www.wk8.com.cn/it/640079.html
我们一直用心在做
关于我们 文章归档 网站地图 联系我们

版权所有 (c)2021-2022 wk8.com.cn

ICP备案号:晋ICP备2021003244-6号