http - 浏览器不显示 X-Forwarded-For header 的原因-6ren

http - 浏览器不显示 X-Forwarded-For header 的原因

转载作者：可可西里更新时间：2023-11-01 15:10:06

50

4

注意:请务必阅读完整问题

我试图理解为什么每次请求页面时浏览器都不向我显示任何 X-Forwarded-For header

顺便说一句，这是我的请求 header 的样子

Request URL:http://localhost:3000/users/sign_in
Request Method:GET
Status Code:304 Not Modified

请求 header :

Accept:text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Encoding:gzip,deflate,sdch
Accept-Language:en-GB,en-US;q=0.8,en;q=0.6
Cache-Control:max-age=0
Connection:keep-alive
Cookie:undefined=0; poasterapp=s%3A4faaa6b1723e7c6fbd949083532c52598652547b.sNX%2BKOEed2TEQkQN7I7K5lgpoHMRpwerKFvUegMnTVI; _minerva_session=BAh7CUkiD3Nlc3Npb25faWQGOgZFRkkiJWEyM2Q0ZTViMWEyODBiYmFmODEwZTJhZmUwNWU5ODk5BjsAVEkiE3VzZXJfcmV0dXJuX3RvBjsARiIGL0kiCmZsYXNoBjsARm86JUFjdGlvbkRpc3BhdGNoOjpGbGFzaDo6Rmxhc2hIYXNoCToKQHVzZWRvOghTZXQGOgpAaGFzaHsGOgphbGVydFQ6DEBjbG9zZWRGOg1AZmxhc2hlc3sGOwpJIgAGOwBUOglAbm93MEkiEF9jc3JmX3Rva2VuBjsARkkiMUN0Uk56SXU0dUdIdzgwcFZJM3R0L2N4dlovRllTSGRrQ2o1R0VVanhIaVk9BjsARg%3D%3D--6bd89ce9d29e9bdcf56573f9a153dc663a8fe755
Host:localhost:3000
If-None-Match:"785d34e3998360353567fc710af123fb"
User-Agent:Mozilla/5.0 (Macintosh; Intel Mac OS X 10_7_5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/32.0.1700.102 Safari/537.36

响应头(不需要但仍然)

Cache-Control:max-age=0, private, must-revalidate
Connection:close
ETag:"785d34e3998360353567fc710af123fb"
Server:thin 1.5.0 codename Knife
Set-Cookie:_minerva_session=BAh7CEkiD3Nlc3Npb25faWQGOgZFRkkiJWEyM2Q0ZTViMWEyODBiYmFmODEwZTJhZmUwNWU5ODk5BjsAVEkiE3VzZXJfcmV0dXJuX3RvBjsARiIGL0kiEF9jc3JmX3Rva2VuBjsARkkiMUN0Uk56SXU0dUdIdzgwcFZJM3R0L2N4dlovRllTSGRrQ2o1R0VVanhIaVk9BjsARg%3D%3D--dfb3ce9f5c97463cfcd0229a133654e6cc606d98; path=/; HttpOnly
X-Request-Id:41a6f3062dc8bc36b7b3eae71dc5075d
X-Runtime:89.238257
X-UA-Compatible:IE=Edge

现在如前所述，我在请求 header 中看不到任何X-Forwarded-For

通读 wiki X-Forwarded-For 的页面让我觉得，它是由缓存服务器完成的(在我的情况下，我相信这是我的 ISP 提供商)所以我可以放心地相信 * *X-Forwarded-For** header 是在缓存服务器端(ISP 提供商)添加的东西

如果是他们是这个烦扰我那么就是

为什么？ 对于在我的机器上本地运行的服务器和我访问它们的服务器来说也是如此(即 X-Forwarded-For 未出现在请求 header 中)通过像 http://localhost:3000

这样的浏览器

最佳答案

X-Forwarded-For 不是 RFC 2616 Section 5.3 中指定的标准请求 header 解决协议(protocol)标准请求 header ，它们是(如 RFC 中指定的)

接受
接受字符集
接受编码
接受语言
授权
期待
来自
主持人
如果匹配
If-Modified-Since
如果不匹配
如果范围
If-Unmodified-Since
最大前锋
代理授权
范围
推荐人
TE
用户代理

为了让您的传入请求具有自定义 [X-Forwarded-For] header ，它必须由调用客户端显式添加到该请求中。为什么您没有看到该 header 的最简单解释是发送请求的客户端没有手动添加它。

棘手的是，您期望看到的 header 不是您应该期望收到的 header ，除非您的服务与调用者之间存在契约(Contract)，该契约(Contract)是分开的来自 HTTP 协议(protocol)，表明您应该期望在请求 header 中指定 X-Forwarded-For 值。正如其他人已经指出的那样，XFF header 通常由代理服务器或负载平衡器设置，以指示通过其代理执行操作的真正请求者是谁。

作为服务提供商，如果您要求在所有请求中设置 [X-Forwarded-For] header ，则必须在服务策略级别强制执行。如果您不想为无法识别他们使用代理 IP 屏蔽谁的代理帐户提供服务，请使用 403 Forbidden 退回他们的请求。如果您处于必须为这些请求提供服务但依赖于设置的 header 的情况，那么您将不得不想出一个自定义流程，您可以在其中传达他们的错误。

以下是 HTTP 协议(protocol)关于匿名性的说明:

Because the source of a link might be private information or mightreveal an otherwise private information source, it is stronglyrecommended that the user be able to select whether or not theReferer field is sent. For example, a browser client could have atoggle switch for browsing openly/anonymously, which wouldrespectively enable/disable the sending of Referer and Frominformation.

Clients SHOULD NOT include a Referer header field in a (non-secure)
HTTP request if the referring page was transferred with a secure
protocol.

Authors of services which use the HTTP protocol SHOULD NOT use GET
based forms for the submission of sensitive data, because this will
cause this data to be encoded in the Request-URI. Many existing
servers, proxies, and user agents will log the request URI in some
place where it might be visible to third parties. Servers can use
POST-based form submission instead...

Elaborate user-customized accept header fields sent in every request,in particular if these include quality values, can be used by serversas relatively reliable and long-lived user identifiers. Such useridentifiers would allow content providers to do click-trail tracking,and would allow collaborating content providers to match cross-serverclick-trails or form submissions of individual users. Note that formany users not behind a proxy, the network address of the hostrunning the user agent will also serve as a long-lived useridentifier. In environments where proxies are used to enhanceprivacy, user agents ought to be conservative in offering acceptheader configuration options to end users. As an extreme privacymeasure, proxies could filter the accept headers in relayed requests.General purpose user agents which provide a high degree of headerconfigurability SHOULD warn users about the loss of privacy which canbe involved.

就我个人而言，我会使用 401.2 退回请求，并通过 WWW-Authenticate 响应 header 将请求者路由到质询屏幕，向他们显示不允许匿名访问您网站的通知。这是一种使用 WWW-Authenticate header 的 SCSS 方式，但您似乎希望 X-Forwarded-For header 能够确认并识别真正的请求者并允许公共(public)非匿名访问为您服务。对我来说，这是一个身份验证问题。

关于http - 浏览器不显示 X-Forwarded-For header 的原因，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/21595921/

50

4

0

文章推荐： java - 为什么我们需要 Hadoop KMS？

文章推荐： http - Content-Encoding : gzip 需要注意的事项

文章推荐： apache - 如何使用 Windows 在单个节点中启动分布式钻头？

文章推荐： http - curl 在重定向后对所有请求使用 POST

header - 在ANTLR中使用@header
我在让“@header”或任何其他@规则在ANTLR中工作时遇到麻烦。具有非常基本的语法，如下所示: grammar test; options { language = CSharp2;
header - header 来源与主机
我对来源和寄宿有疑问我有一个ajax页面“Page A”，它将称为ajax提要“Page B” 我看到来自ajax调用的“页面B”的请求 header 具有源“http://mydomain.com
python - 用带有两个 header 信息的单个 header 替换多个数据帧 header
我在 pandas 中使用了数据透视表并获得了所需的数据框格式，但现在我有两行标题。数据透视表后的结果数据框如下: scenario Actual Plan
python - 用带有两个 header 信息的单个 header 替换多个数据帧 header
我在 pandas 中使用了数据透视表并获得了所需的数据框格式，但现在我有两行标题。数据透视表后的结果数据框如下: scenario Actual Plan
c - 如何在主机将它们发送到网络之前修改数据包 header (IP header ，TCP header )
我想在主机将它们发送到网络之前修改数据包头(IP 头、TCP 头)。例如，如果我使用 firefox 进行浏览，那么我想拦截所有来自 firefox 的数据包并修改 IP/TCP header ，然
html - header 内容包装到#header 但#header 显示为空
我的 header 内容被包装到#header 中，但是当我设置边框显示结构时，它显示我的#header 的内容出现在#header 本身之后。可能是什么问题？这是我的代码: #header { bo
browser-cache - 浏览器如何处理过期 header 、缓存控制 header 、最后修改 header ？
我是一名 Web 开发人员，使用过 PHP 和 .NET。有一年多的 Web 工作经验，我一直无法彻底了解浏览器缓存功能，希望这里的 Web Gurus 可以帮助我。我心中的问题是: 浏览器实际上是如
C++ 将多个 header 连接到一个 header 并使用这些 header 函数
伙计们，我有一个问题，我不知道如何在一个 header 中连接多个 header ，我们称它为“主 header ”并使用该 header 中的函数，例如 // A.h #include class
c# - 我应该使用哪个 header ？ XMLHTTPRequest header 还是 SOAP header ？
我有一个包含 SOAP 消息的 XMLHTTPRequest。我想添加用于标识消息并将由 C# Web 服务使用的 guid。 GUID 的目标是识别特定用户，并应护送所有用户请求以在服务器上进行身
javascript - 当到达当前卡住的 header 时，用第二个 header 替换粘性 header
我一直在阅读粘性标题，这是我目前所发现的。第一个粘性 header 效果很好，但是当它遇到第一个 header 时，我如何向上滚动第一个 header 并使第二个 header 卡住？ http://
objective-c - UICollectionView:自定义UICollectionViewFlowLayout header (多个 header 和 header 位置)
我想将当前基于 TableView 的数据网格转换为新的 UICollectionView 类。这就是我当前的网格的样子: 我的网格有两个标题: 年份(2006a、2007a 等)和类型(“收入”
header - Apollo 服务器设置响应 header
我目前正在使用 Apollo 服务器。我正在尝试在响应 header 中设置一个属性。并且此属性是从客户端 graphQL 请求 header 中检索的。我在网上查了一下。并看到了诸如使用插件或扩展
http-headers - 如何为转发的请求设置 header
我的 Controller 的方法需要设置一个标题，例如X-Authorization .创建新对象( store Action )后，我执行转发以显示新创建的对象( show Action ): $
header - 对以太网帧的 header 大小感到困惑
我正在研究一些关于 VLAN 的事情，发现了 VLAN 标签和 header 。如果我们有标准 802.3 以太网帧的 MTU(1518 字节)， header 802.3 中包含什么？另外，
http-headers - 我们如何放心地传递多个 header ？
我是放心和 Java 的新手，我正在尝试做一个非常基本的测试来检查 API 的响应是否为 200 ok。谁能告诉我我需要在下面的脚本中更改什么才能传递多个 header Id、Key 和 ConId
header - zlib header 是什么样的？
在我的项目中，我需要知道 zlib header 是什么样的。我听说它相当简单，但我找不到 zlib header 的任何描述。例如，它是否包含魔数(Magic Number)？最佳答案 zlib
http-headers - 根据条件发送不同的HTTP header
我正在使用 JMeter 测试 HTTP 服务器，该服务器接受并验证 APIKey 并在成功时返回一个有时限的 token 。如果我有 token ，我想发送一个 token ；如果没有，我想发送一个
header - 以太网 header 是什么样的？
以太网 header 是什么样的？是吗: 1|2|3|4|5|6|7|8|9|10|11|12|13|14|15|16|17|18|19|20|21|22|23|24|25|26|27|28|29|
header - 如何测试 CORS header
我们的应用程序支持 CORS 配置 header 。我在两个不同的主机上分别配置了 testApp。两种设置都相互独立工作。host1 上的应用程序配置有 CORS header Access-Con
c++ header 本身不包含依赖 header
tlhelp32.h 不包含 windows.h 本身是有原因的吗？我一直在与大量的编译器错误作斗争，因为我在包含 tlhelp32.h 之后包含了 windows.h。这是设计决定还是出于什么原因？

首页

博学

6Ren·AI

商城

http - 浏览器不显示 X-Forwarded-For header 的原因