个人中心
文章发布
退出
作者热门文章
- android - RelativeLayout 背景可绘制重叠内容
- android - 如何链接 cpufeatures lib 以获取 native android 库?
- java - OnItemClickListener 不起作用,但 OnLongItemClickListener 在自定义 ListView 中起作用
- java - Android 文件转字符串
48
4
注意:请务必阅读完整问题
我试图理解为什么每次请求页面时浏览器都不向我显示任何 X-Forwarded-For header
顺便说一句,这是我的请求 header 的样子
Request URL:http://localhost:3000/users/sign_in
Request Method:GET
Status Code:304 Not Modified
请求 header :
Accept:text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Encoding:gzip,deflate,sdch
Accept-Language:en-GB,en-US;q=0.8,en;q=0.6
Cache-Control:max-age=0
Connection:keep-alive
Cookie:undefined=0; poasterapp=s%3A4faaa6b1723e7c6fbd949083532c52598652547b.sNX%2BKOEed2TEQkQN7I7K5lgpoHMRpwerKFvUegMnTVI; _minerva_session=BAh7CUkiD3Nlc3Npb25faWQGOgZFRkkiJWEyM2Q0ZTViMWEyODBiYmFmODEwZTJhZmUwNWU5ODk5BjsAVEkiE3VzZXJfcmV0dXJuX3RvBjsARiIGL0kiCmZsYXNoBjsARm86JUFjdGlvbkRpc3BhdGNoOjpGbGFzaDo6Rmxhc2hIYXNoCToKQHVzZWRvOghTZXQGOgpAaGFzaHsGOgphbGVydFQ6DEBjbG9zZWRGOg1AZmxhc2hlc3sGOwpJIgAGOwBUOglAbm93MEkiEF9jc3JmX3Rva2VuBjsARkkiMUN0Uk56SXU0dUdIdzgwcFZJM3R0L2N4dlovRllTSGRrQ2o1R0VVanhIaVk9BjsARg%3D%3D--6bd89ce9d29e9bdcf56573f9a153dc663a8fe755
Host:localhost:3000
If-None-Match:"785d34e3998360353567fc710af123fb"
User-Agent:Mozilla/5.0 (Macintosh; Intel Mac OS X 10_7_5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/32.0.1700.102 Safari/537.36
响应头(不需要但仍然)
Cache-Control:max-age=0, private, must-revalidate
Connection:close
ETag:"785d34e3998360353567fc710af123fb"
Server:thin 1.5.0 codename Knife
Set-Cookie:_minerva_session=BAh7CEkiD3Nlc3Npb25faWQGOgZFRkkiJWEyM2Q0ZTViMWEyODBiYmFmODEwZTJhZmUwNWU5ODk5BjsAVEkiE3VzZXJfcmV0dXJuX3RvBjsARiIGL0kiEF9jc3JmX3Rva2VuBjsARkkiMUN0Uk56SXU0dUdIdzgwcFZJM3R0L2N4dlovRllTSGRrQ2o1R0VVanhIaVk9BjsARg%3D%3D--dfb3ce9f5c97463cfcd0229a133654e6cc606d98; path=/; HttpOnly
X-Request-Id:41a6f3062dc8bc36b7b3eae71dc5075d
X-Runtime:89.238257
X-UA-Compatible:IE=Edge
现在如前所述,我在请求 header 中看不到任何X-Forwarded-For
通读 wiki X-Forwarded-For 的页面让我觉得,它是由缓存服务器完成的(在我的情况下,我相信这是我的 ISP 提供商)所以我可以放心地相信 * *X-Forwarded-For** header 是在缓存服务器端(ISP 提供商)添加的东西
如果是他们是这个烦扰我那么就是
为什么? 对于在我的机器上本地运行的服务器和我访问它们的服务器来说也是如此(即 X-Forwarded-For 未出现在请求 header 中)通过像 http://localhost:3000
最佳答案
X-Forwarded-For 不是 RFC 2616 Section 5.3 中指定的标准请求 header 解决协议(protocol)标准请求 header ,它们是(如 RFC 中指定的)
为了让您的传入请求具有自定义 [X-Forwarded-For] header ,它必须由调用客户端显式添加到该请求中。为什么您没有看到该 header 的最简单解释是发送请求的客户端没有手动添加它。
棘手的是,您期望看到的 header 不是您应该期望收到的 header ,除非您的服务与调用者之间存在契约(Contract),该契约(Contract)是分开的来自 HTTP 协议(protocol),表明您应该期望在请求 header 中指定 X-Forwarded-For 值。正如其他人已经指出的那样,XFF header 通常由代理服务器或负载平衡器设置,以指示通过其代理执行操作的真正请求者是谁。
作为服务提供商,如果您要求在所有请求中设置 [X-Forwarded-For] header ,则必须在服务策略级别强制执行。如果您不想为无法识别他们使用代理 IP 屏蔽谁的代理帐户提供服务,请使用 403 Forbidden 退回他们的请求。如果您处于必须为这些请求提供服务但依赖于设置的 header 的情况,那么您将不得不想出一个自定义流程,您可以在其中传达他们的错误。
以下是 HTTP 协议(protocol)关于匿名性的说明:
Because the source of a link might be private information or mightreveal an otherwise private information source, it is stronglyrecommended that the user be able to select whether or not theReferer field is sent. For example, a browser client could have atoggle switch for browsing openly/anonymously, which wouldrespectively enable/disable the sending of Referer and Frominformation.
Clients SHOULD NOT include a Referer header field in a (non-secure)
HTTP request if the referring page was transferred with a secure
protocol.Authors of services which use the HTTP protocol SHOULD NOT use GET
based forms for the submission of sensitive data, because this will
cause this data to be encoded in the Request-URI. Many existing
servers, proxies, and user agents will log the request URI in some
place where it might be visible to third parties. Servers can use
POST-based form submission instead...Elaborate user-customized accept header fields sent in every request,in particular if these include quality values, can be used by serversas relatively reliable and long-lived user identifiers. Such useridentifiers would allow content providers to do click-trail tracking,and would allow collaborating content providers to match cross-serverclick-trails or form submissions of individual users. Note that formany users not behind a proxy, the network address of the hostrunning the user agent will also serve as a long-lived useridentifier. In environments where proxies are used to enhanceprivacy, user agents ought to be conservative in offering acceptheader configuration options to end users. As an extreme privacymeasure, proxies could filter the accept headers in relayed requests.General purpose user agents which provide a high degree of headerconfigurability SHOULD warn users about the loss of privacy which canbe involved.
就我个人而言,我会使用 401.2 退回请求,并通过 WWW-Authenticate 响应 header 将请求者路由到质询屏幕,向他们显示不允许匿名访问您网站的通知。这是一种使用 WWW-Authenticate header 的 SCSS 方式,但您似乎希望 X-Forwarded-For header 能够确认并识别真正的请求者并允许公共(public)非匿名访问为您服务。对我来说,这是一个身份验证问题。
关于http - 浏览器不显示 X-Forwarded-For header 的原因,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/21595921/
48
4
0
我的“登录”是在 IE 浏览器中进行的,登录后,如果我单击链接,它们就会在 Chrome 浏览器中打开。如何在同一个测试用例中将我当前的浏览器从 IE 切换到 Chrome。如果我创建一个 chrom
您好,我不明白在 Firefox 的内容属性中使用的特殊字符的不同显示行为。我已经剥离了一切并创造了一支笔: http://codepen.io/rpkoller/pen/Fbgav 在其“基本形式”
我正在研究 Spring Data REST,特别是 HAL 浏览器。我一直在关注 http://docs.spring.io/spring-data/rest/docs/current/refere
我正在使用工具提示,在 ie 上出现定位错误。我放了jquery浏览器代码 我的工具提示 $('.tooltip').tooltip({ position: "bottom center"
我应该如何处理蓝鸟协程中的错误? 我使用co in节点已有一段时间,它具有出色的捕获功能。 co(function*() { return new Promise(function(resol
package webviewbrowser; import java.util.List; import javafx.application.Application; import javafx.
我有一些 JavaScript 在同一域上的两个独立服务器之间共享请求。 .com 是 JavaScript 中域的要求吗? 在这种情况下,两台服务器都位于 .abc.tyy 域上,tyy 通常是 .
package webviewbrowser; import java.util.List; import javafx.application.Application; import javafx.
我正在尝试构建仍支持 NPAPI 的先前版本的 Chromium 浏览器。我已经获得了代码,并且可以使用 stand build 命令在我的 mac 上构建最新版本的 Chromium gclient
我环顾四周,找不到 browscap 的 Python 等效项(我在 PHP 中使用它来检测给定的用户代理字符串是什么浏览器。 我希望我不必自己写......:P 最佳答案 看看这个,它应该做你想要的
是否有任何 chrome 或 firefox 扩展允许 javascript 在客户端 PC 中创建写入文件? 最佳答案 你想做什么? HTML5 有一个 File API .这是最好的解决方案,因为
当我点击链接或刷新或关闭标签页时,我有这段代码会发出警报。 但我需要在关闭 窗口(选项卡)上仅 发出警报。怎么做? 我的网站上有很多外部和内部链接。
我目前正在尝试使用 Browserify + Angular,但我遇到了一个奇怪的问题。我在我的 Controller 的子目录中创建了一个名为 controllers/start-controlle
我正在为客户(项目已被接受,但现在是解释不同功能的问题)写一份详细的估算,以开发一个响应式布局的网站。 这不是我第一次进行此类开发,但这是一个关键客户,必须铺平道路。 布局将从 300px 宽度调整到
我在时事通讯上设计了一些黑底白字。由于时事通讯在打印时看起来不错且可读。我需要使布局和文本与浏览器中的内容相似。 通常情况下,黑色文本和无背景颜色是浏览器/网络邮件客户端的默认打印样式吗? 最佳答案
我有一个使用 GWT/mGWT 构建的移动友好网络应用程序。该应用程序有白色输入文本框和深灰色输入文本。但是,在 Android 浏览器上,文本显示为白色,因此是不可见的。我尝试的所有 CSS 都无法
我创建了一个带有选择输入的页面来更改正在使用的 jQuery UI 主题。当主题更改时,它会存储在 cookie 中。页面加载时,如果 cookie 存在,则恢复主题,否则加载默认主题。 当我使用 F
在我的 CSS 中,我使用了以下代码片段: word-break: break-word; -webkit-hyphens: auto; hyphens: auto; 渲染引擎如何知道在所有不同语言中
我的网络浏览器 Safari 有问题,我在 Chrome、FireFox 中测试了我的网站。 Safari 版本也是正确的,但是,当需要在 1920x1080 或更高分辨率下对其进行测试时,它无法正常
就目前情况而言,这个问题不太适合我们的问答形式。我们希望答案得到事实、引用资料或专业知识的支持,但这个问题可能会引发辩论、争论、民意调查或扩展讨论。如果您觉得这个问题可以改进并可能重新开放,visit
我是一名优秀的程序员,十分优秀!