如何安全地在Flask中获取用户的真实IP地址(使用mod_wsgi)?
我在mod_wsgi / Apache上安装了flask应用程序,需要记录用户的IP地址。request.remote_addr返回“
127.0.0.1”,此修复程序试图更正此错误,但是我发现Django出于安全原因删除了类似的代码。
有没有更好的方法来安全地获取用户的真实IP地址?
编辑:也许我缺少明显的东西。我应用了werkzeug /
Flask的修复程序,
但是当我尝试更改标头的请求时,似乎没有什么不同:
run.py:
from werkzeug.contrib.fixers import ProxyFix
app.wsgi_app = ProxyFix(app.wsgi_app)
app.run()
view.py:
for ip in request.access_route:
print ip # prints "1.2.3.4" and "my.ip.address"
如果启用或未启用ProxyFix,也会发生相同的结果。我觉得我缺少了一些显而易见的东西
问题答案:
仅当定义 受信任
代理的列表时,才可以使用该request.access_route属性。
__
该access_route属性使用X-Forwarded- Forheader,回退到REMOTE_ADDRWSGI变量;后者很好,因为您的服务器确定了这一点;在X-Forwarded- For可能已被几乎任何人都设定,但如果你信任的代理正确设置值,然后使用第一个(从端)成为 不 信任:
trusted_proxies = {'127.0.0.1'} # define your own set
route = request.access_route + [request.remote_addr]
remote_addr = next((addr for addr in reversed(route)
if addr not in trusted_proxies), request.remote_addr)
这样,即使有人用欺骗了X-Forwarded- For标头fake_ip1,fake_ip2,代理服务器也会添加,spoof_machine_ip到末尾,并且上面的代码会将设置remote_addr为spoof_machine_ip,无论最外面的代理服务器还有多少个受信任的代理。
这是您的链接文章所谈论的白名单方法(简短地说,就是Rails使用它),以及Zope在11年前实施的方法。
您的ProxyFix方法效果很好,但是您误解了它的作用。它 只是 套request.remote_addr;
该request.access_route属性不变(中间件 不 调整X-Forwarded-For头)。 但是
,我会非常谨慎地盲目计算代理。
将相同的白名单方法应用于中间件如下所示:
class WhitelistRemoteAddrFix(object):
"""This middleware can be applied to add HTTP proxy support to an
application that was not designed with HTTP proxies in mind. It
only sets `REMOTE_ADDR` from `X-Forwarded` headers.
Tests proxies against a set of trusted proxies.
The original value of `REMOTE_ADDR` is stored in the WSGI environment
as `werkzeug.whitelist_remoteaddr_fix.orig_remote_addr`.
:param app: the WSGI application
:param trusted_proxies: a set or sequence of proxy ip addresses that can be trusted.
"""
def __init__(self, app, trusted_proxies=()):
self.app = app
self.trusted_proxies = frozenset(trusted_proxies)
def get_remote_addr(self, remote_addr, forwarded_for):
"""Selects the new remote addr from the given list of ips in
X-Forwarded-For. Picks first non-trusted ip address.
"""
if remote_addr in self.trusted_proxies:
return next((ip for ip in reversed(forwarded_for)
if ip not in self.trusted_proxies),
remote_addr)
def __call__(self, environ, start_response):
getter = environ.get
remote_addr = getter('REMOTE_ADDR')
forwarded_for = getter('HTTP_X_FORWARDED_FOR', '').split(',')
environ.update({
'werkzeug.whitelist_remoteaddr_fix.orig_remote_addr': remote_addr,
})
forwarded_for = [x for x in [x.strip() for x in forwarded_for] if x]
remote_addr = self.get_remote_addr(remote_addr, forwarded_for)
if remote_addr is not None:
environ['REMOTE_ADDR'] = remote_addr
return self.app(environ, start_response)
明确地说:该中间件也 只 设置request.remote_addr; request.access_route仍然不受影响。
-
问题内容: 如何在Django中获取用户的IP? 我有这样的看法: 但是我得到这个错误: 问题答案: 确保正确配置了反向代理(如果有)(例如,为Apache安装)。 注意:上面使用的第一项,但是你可能想使用最后一项(例如,在Heroku的情况下:在Heroku上获取客户端的真实IP地址) 然后将请求作为参数传递给它;
-
问题内容: AWS刚刚向ELB添加了对PROXY协议的支持,该协议封装了TCP流并添加了客户端IP地址(如代理所示),以便后端服务器可以访问客户端的IP(因为否则它将只看到ELB的IP) 。 我知道ELB可以在HTTP(S)模式下运行,在该模式下ELB可以插入标头,但是我在TCP模式下运行ELB 以便可以通过SPDY为站点提供服务。 如何修改我的node.js应用程序(使用Express)以使用P
-
本文向大家介绍python使用Flask框架获取用户IP地址的方法,包括了python使用Flask框架获取用户IP地址的方法的使用技巧和注意事项,需要的朋友参考一下 本文实例讲述了python使用Flask框架获取用户IP地址的方法。分享给大家供大家参考。具体如下: 下面的代码包含了html页面和python代码,非常详细,如果你正使用Flask,也可以学习一下最基本的Flask使用方法。 py
-
问题内容: 我想获取计算机的IP地址。我使用了下面的代码,但是返回了。 我想获取IP地址(例如),而不是回送地址。 问题答案: 您需要遍历所有网络接口 播放(取自util / helper.go)
-
问题内容: 我不是指 127.0.0.1 而是其他计算机将用来访问该计算机的计算机,例如 192.168.1.6 问题答案: http://nodejs.org/api/os.html#os_os_networkinterfaces
-
问题内容: 我想获取使用我网站的客户IP地址。我正在使用PHP superglobal: 但是我看到它不能使用此提供正确的IP地址。我得到了我的IP地址,发现它与我的IP地址不同,并且我还可以在某些网站上看到我的IP地址,例如: 我粘贴了提供PHP功能的IP地址,但是此网站未显示任何结果。这个问题是怎么发生的,如何获得客户端的IP地址? 问题答案: 获取访问者/客户的IP地址的最简单方法是使用或变