python – 如何在Flask中安全地获取用户的真实IP地址(使用mod_wsgi)?
内容导读
互联网集市收集整理的这篇技术教程文章主要介绍了python – 如何在Flask中安全地获取用户的真实IP地址(使用mod_wsgi)?,小编现在分享给大家,供广大互联网技能从业者学习和参考。文章包含3055字,纯文字阅读大概需要5分钟。
内容图文
![python – 如何在Flask中安全地获取用户的真实IP地址(使用mod_wsgi)?](/upload/InfoBanner/zyjiaocheng/702/d831624b3fd64e80a3b0a2ffdcd0328c.jpg)
我在mod_wsgi / Apache上设置了一个烧瓶应用程序,需要记录用户的IP地址. request.remote_addr返回“127.0.0.1”并尝试更正this fix,但我发现Django出于安全原因删除了类似的代码.
有没有更好的方法来安全地获取用户的真实IP地址?
编辑:也许我错过了一些明显的东西.我申请了werkzeug’s/Flask’s fix但是当我尝试使用带有更改标题的请求时它似乎没有什么区别:
run.py:
from werkzeug.contrib.fixers import ProxyFix
app.wsgi_app = ProxyFix(app.wsgi_app)
app.run()
view.py:
for ip in request.access_route:
print ip # prints "1.2.3.4" and "my.ip.address"
如果我启用了ProxyFix,则会出现相同的结果.我觉得我错过了一些完全明显的东西
解决方法:
仅当您定义可信代理列表时,才能使用request.access_route attribute.
access_route属性使用X-Forwarded-For header,回退到REMOTE_ADDR WSGI变量;后者很好,因为你的服务器决定这一点;几乎任何人都可以设置X-Forwarded-For,但是如果你信任一个代理来正确设置值,那么使用不受信任的第一个(从结尾):
trusted_proxies = {'127.0.0.1'} # define your own set
route = request.access_route + [request.remote_addr]
remote_addr = next((addr for addr in reversed(route)
if addr not in trusted_proxies), request.remote_addr)
这样,即使有人使用fake_ip1,fake_ip2欺骗X-Forwarded-For标头,代理服务器也会添加,欺骗_machine_ip到最后,上面的代码会将remote_addr设置为spoof_machine_ip,无论有多少可信代理.除了你最外面的代理.
这是您的链接文章谈到的白名单方法(简单地说,Rails使用它),以及Zope implemented over 11 years ago.
你的ProxyFix方法工作正常,但你误解了它的作用.它只设置request.remote_addr; request.access_route属性未更改(中间件不调整X-Forwarded-For标头).但是,我会非常警惕盲目地计算代理.
对中间件应用相同的白名单方法如下所示:
class WhitelistRemoteAddrFix(object):
"""This middleware can be applied to add HTTP proxy support to an
application that was not designed with HTTP proxies in mind. It
only sets `REMOTE_ADDR` from `X-Forwarded` headers.
Tests proxies against a set of trusted proxies.
The original value of `REMOTE_ADDR` is stored in the WSGI environment
as `werkzeug.whitelist_remoteaddr_fix.orig_remote_addr`.
:param app: the WSGI application
:param trusted_proxies: a set or sequence of proxy ip addresses that can be trusted.
"""
def __init__(self, app, trusted_proxies=()):
self.app = app
self.trusted_proxies = frozenset(trusted_proxies)
def get_remote_addr(self, remote_addr, forwarded_for):
"""Selects the new remote addr from the given list of ips in
X-Forwarded-For. Picks first non-trusted ip address.
"""
if remote_addr in self.trusted_proxies:
return next((ip for ip in reversed(forwarded_for)
if ip not in self.trusted_proxies),
remote_addr)
def __call__(self, environ, start_response):
getter = environ.get
remote_addr = getter('REMOTE_ADDR')
forwarded_for = getter('HTTP_X_FORWARDED_FOR', '').split(',')
environ.update({
'werkzeug.whitelist_remoteaddr_fix.orig_remote_addr': remote_addr,
})
forwarded_for = [x for x in [x.strip() for x in forwarded_for] if x]
remote_addr = self.get_remote_addr(remote_addr, forwarded_for)
if remote_addr is not None:
environ['REMOTE_ADDR'] = remote_addr
return self.app(environ, start_response)
要明确:这个中间件也只设置request.remote_addr; request.access_route保持不受影响.
内容总结
以上是互联网集市为您收集整理的python – 如何在Flask中安全地获取用户的真实IP地址(使用mod_wsgi)?全部内容,希望文章能够帮你解决python – 如何在Flask中安全地获取用户的真实IP地址(使用mod_wsgi)?所遇到的程序开发问题。 如果觉得互联网集市技术教程内容还不错,欢迎将互联网集市网站推荐给程序员好友。
内容备注
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 gblab@vip.qq.com 举报,一经查实,本站将立刻删除。
内容手机端
扫描二维码推送至手机访问。