Здравствуйте, Илья.
Вы писали 4 февраля 2016 г., 2:32:16:
> мы пишем вот такую штуку
> map $http_x_forwarded_for $r_ip {
> '' $remote_addr;
> default $http_x_forwarded_for;
> }
В такой конфигурации вы абсолютно доверяете присланному вам (кем угодно)
заголовку X-Forwarded-For. Атакующий может подставить туда любые данные, в т.ч и
не IP. Использовать полученное таким образом в качестве "настоящего IP
пользователя" категорически нельзя.
> чем в данном случае помогает то, что я знаю ip-адрес серверов оперы или
> яндекса ?
Указав список этих адресов, вы можете принимать заголовок X-Forwarded-For
только от них.
Полученному таким образом значению IP пользователя можно доверять в несколько
большей
степени.
--
С уважением,
Pavel mailto:pavel2...@ngs.ru
_______________________________________________
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru
