java web 獲取客戶端真實IP

• IP信息獲取來源     從request的header信息中獲取

   打印出header中的所有信息

    <%

        Enumeration enu = request.getHeaderNames();//取得全部頭信息

        while (enu.hasMoreElements()) {//以此取出頭信息

            String headerName = (String) enu.nextElement();

            String headerValue = request.getHeader(headerName);//取出頭信息內容

    %>

    <h5><%=headerName%><font color="red">--></font> <font color="blue"><%=headerValue%></font>

    </h5>

    <%

        }

 

//方法

public static String getRequestRealIp(HttpServletRequest request) {
String ip = request.getHeader("x-forwarded-for");
if (ip != null && ip.contains(",")) {
ip = ip.split(",")[0];
}

if (!checkIp(ip)) {
ip = request.getHeader("Proxy-Client-IP");
}
if (!checkIp(ip)) {
ip = request.getHeader("WL-Proxy-Client-IP");
}
if (!checkIp(ip)) {
ip = request.getHeader("X-Real-IP");
}

if (!checkIp(ip)) {
ip = request.getRemoteAddr();
}
return ip;
}

private static boolean checkIp(String ip) {
if (ip == null || ip.length() == 0 || "unkown".equalsIgnoreCase(ip) ) {
return false;
}
return true;
}

     

• X-Forwarded-For說明

X-Forwarded-For: client1, proxy1, proxy2

其中的值通過一個 逗號+空格 把多個IP地址區分開, 最左邊（client1）是最原始客戶端的IP地址, 代理服務器每成功收到一個請求，就把請求來源IP地址添加到右邊。 在上面這個例子中，這個請求成功通過了三台代理服務器：proxy1, proxy2 及 proxy3。請求由client1發出，到達了proxy3（proxy3可能是請求的終點）。請求剛從client1中發出時，XFF是空的，請求被發往proxy1；通過proxy1的時候，client1被添加到XFF中，之后請求被發往proxy2;通過proxy2的時候，proxy1被添加到XFF中，之后請求被發往proxy3；通過proxy3時，proxy2被添加到XFF中，之后請求的的去向不明，如果proxy3不是請求終點，請求會被繼續轉發。

鑒於偽造這一字段非常容易，應該謹慎使用X-Forwarded-For字段。正常情況下XFF中最后一個IP地址是最后一個代理服務器的IP地址, 這通常是一個比較可靠的信息來源。