起因 最近因为某个站点的流量异常，需要统计一下服务器的来源IP，本来开一下IIS日志就能搞定的事儿，但不幸的是生产服务器使用F5做了负载均衡，IIS日志无法记录到真实IP，真实的IP在“x-forwarded-for”中，baidu了一堆，没几个靠谱的，还好有个bing能用，很快找到了下这篇 ...

X-Forwarded-For 拿到的就是真实 IP 吗？ 1.故事 在这个小节开始前，我先讲一个开发中的小故事，可以加深一下大家对这个字段的理解。 前段时间要做一个和风控相关的需求，需要拿到用户的 IP，开发后灰度了一小部分用户，测试发现后台日志里灰度的用户 IP 全是异常 ...

https://help.aliyun.com/knowledge_detail/37948.html ...

） 所以这里我们要通过haproxy的X-Forwarded-For来拿到用户的真实IP # 通过X-Forw ...

在JSP里，获取客户端的IP地址的方法是：request.getRemoteAddr（），这种方法在大部分情况下都是有效的。 但是在通过了 Apache，Squid等反向代理软件就不能获取到客户端的真实IP地址了。 如果使用了反向代理软件 ...

F5转包时将请求IP记录到X-Forwarded-For字段 最近在做某个系统的安全加固的时候，发现tomcat记录的日志全部来自于F5转发的IP地址，不能获取到请求的真实IP。 经过抓包分析，F5在转发请求包的时候会将来源IP记录在HTTP包header中的X-Forwarded-For字段 ...

经过反向代理后，客户端与web服务器之间添加了中间层，因此: 1.代理服务器使用$remote_addr拿到的会是客户端的ip 2. web服务器使用$remote_addr拿到的会是代理服务器的ip 3.客户端使用getRemoteAddr()拿到的会是反向代理服务器的ip ...

关于X-Forwarded-For被伪造情况下获取真实ip的处理 Sherman ...