RR
А я думал что проверять стоит только x-real-ip
Size: a a a
2019 February 02
RR
То есть тот с которого установлено соединение
V
А как haproxy/nginx его определяет, к слову? Разве его нельзя подменить?
RR
Есть отдельная директива - она берет ИП не из хидера
RR
А проверять x-forwarded-for разве что дополнительно
V
А ip-spoofing и вот это все?..
RR
Ну тут уже ничем не поможешь)
k
А ip-spoofing и вот это все?..
в TCP соединении?
RR
Поэтому есть white paper по моему от Гугла который говорит что рестриктить что либо не то что не имеет смысла а вредно
V
Так он берёз из заголовка. Просто если nginx не первый, то указываем "доверять тому, кто перед нами" . А вот тот кто первый - откуда "надёжно" берет? Из TCP пакета просто остается
V
Поэтому есть white paper по моему от Гугла который говорит что рестриктить что либо не то что не имеет смысла а вредно
Ну да, у них и открытый редирект вроде ж работает)) фича
RR
Он берет из пакета
V
в TCP соединении?
Ну да, не сходится
RR
Сек вспоминаю переменную
RR
$realip_remote_addr ну вот эта по моему она и есть но только если не указано брать из хидера
V
$realip_remote_addr ну вот эта по моему она и есть но только если не указано брать из хидера
Не из заголовка..это proxy_protocol выставить?
Тип
Тип
real_ip_header proxy_protocol;?RR
Не удобно гуглить с телефона) но когда я разбирался года три назад у меня сложилось какое то такое мнение
RR
Сори, вот правильная:
$remote_addr
$remote_addr