amazon-cloudfront - 如何通过CloudFront获取请求的客户端IP？

Question

根据CloudFront的文档
(https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/RequestAndResponseBehaviorCustomOrigin.html)，客户端IP可以是X-Forwarded-For header 的前端，中间，结尾。

严厉吗？那我该如何获得真实的客户端IP？

Answer 1

Is it right?

不完全是。

CloudFront遵循 X-Forwarded-For的正确语义。具体来说，每个处理请求的系统都会在右侧附加其客户地址。这意味着来自CloudFront的请求中 X-Forwarded-For中最右边的地址始终是连接到CloudFront的计算机的地址。

如果客户端(与CloudFront建立连接的计算机)在其请求中包含 X-Forwarded-For header ，则该 header 可能是伪造的，或者如果客户端是代理服务器，则该 header 可能是合法的，但是您很少有办法知道。因此，无论哪种方式，您都应该将其视为潜在有值(value)的内容，但严格来说是非权威的。

最右边的值(也可能是唯一的值)是您可以信任的来自CloudFront的请求中的唯一值。

一般来说，从右边进行解析，您可以知道的任何您知道的并且可以信任的地址(可以正确识别出其上游客户端)都可以从列表中删除...但是一旦遇到第一个不受信任的地址(从右到左)，您便可以使用该地址。正在寻找，因为该地址左侧的任何内容都不受信任。

这意味着，如果堆栈中的组件(例如Application Load Balancer或Web服务器)也添加了 X-Forwarded-For，那么您将需要考虑这些组件还将添加到值右侧的内容，从而修改CloudFront提供的内容。

例如。客户发送:

X-Forwarded-For: a, b, c

CloudFront添加客户端的IP d:

X-Forwarded-For: a, b, c, d

ALB从CloudFront接收请求，因此添加了CloudFront导出地址 e:

X-Forwarded-For: a, b, c, d, e

然后，您的Web服务器添加平衡器 f的内部地址:

X-Forwarded-For: a, b, c, d, e, f

您可以信任和删除 f，只要它与您的平衡器子网的CIDR范围相同即可。

您可以信任和删除 e，只要它在CloudFront address ranges中即可。

剩下的就是 d作为客户端地址。

在此示例中， a， b和 c值几乎一文不值，因为您无法信任它们的真实性，因为它们位于第一个(从右侧)不可信地址的左侧...有时，它们可能在鉴识上有用，稍后，但是您不能基于它们做出任何实时决策。

这就是 X-Forwarded-For始终起作用的方式。由于缺乏理解，许多开发人员似乎做出了幼稚的假设。在将其用于任何重要事项之前，请务必先了解它。

在 Lambda@Edge触发器中，CloudFront以 event.Records[0].cf.request.clientIp为您提供客户端IP地址。这始终只是一个地址，并且与 X-Forwarded-For的最右边的值相同，因为请求使CloudFront一直指向您的来源(如上所述，这可能会在右边添加其他值)。