背景目前,大型制造商的代码有安全评估,有可能在渗透测试时使用变更了x-forwarded-for的值伪造客户端IP。 internet上的常见配置可以在nginx上解决,但如果不使用nginx或使用其他代理,则只能从服务器上获取。 解决方案此处提供的Tomcat远程IP valve和实施逻辑如下图所示
从上图中的逻辑可以看出,只要更改internalProxies的默认值,就可以从request.getRemoteAddr ()获取客户端的真实IP
此处使用的SpringBoot在yml文件中设置。
server : Tomcat :国际代理3360127.0.0.2127.0.0.2自定义