安全

最近在做一个消息推送企业某信的需求，使用的不是官方的api,而是和企业某信可以集成的云办公平台的api。由于api有ip白名单限制，导致我必须在特定化网络环境下发请求，测试很麻烦，所以想测试一下能不能绕过限制。 想要绕过限制，首先要知道服务器如何获取发送者的ip。 服务器如何获取请求者ip 获取请求者 IP 本质上就两个来源： 直接从 IP 数据包获取 这就是 HttpServletRequest的getRemoteAddr() 的工作原理，获取的是直接与服务器建立 TCP 连接的客户端 IP，在没有代理的情况下,这就是真实的客户端 IP 从 HTTP 请求头获取 常见的请求头有: X-Forwarded-For X-Real-IP Proxy-Client-IP WL-Proxy-Client-IP 测试 这里我使用了postman伪造了请求头X-Forwarded-For，经过测试，理论上只要知道正确的ip，就可以让ip白名单功能失效。 如果你有服务器的访问权限，但是只知道服务器的内网ip，可以尝试 curl ifconfig.me 然后就能得到服务器的公网ip了 安全建议 改用网络层的源IP地址(TCP/IP报文中的source IP)进行验证 如果必须使用代理转发,建议只信任内部代理服务器传递的XFF头 吐槽 某云办公平台必须付费才能获得访问api的密钥，并且密钥只有一个，测试只能直接在正式系统测