欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  IT编程

c#获取客户端IP地址(考虑代理)

程序员文章站 2022-11-21 17:32:30
说明:本文中的内容是我综合博客园上的博文和msdn讨论区的资料,再通过自己的实际测试而得来,属于自己原创的内容说实话很少,写这一篇是为了记录自己在项目中做过的事情,同时也想抛砖引玉。参...

说明:本文中的内容是我综合博客园上的博文和msdn讨论区的资料,再通过自己的实际测试而得来,属于自己原创的内容说实话很少,写这一篇是为了记录自己在项目中做过的事情,同时也想抛砖引玉。参考的博文及其作者在下文均有提及。待到自己以后对http、tcp/ip等知识学深入了,一定再来这里深入讨论这个内容。

一、名词

  首先说一下接下来要讲到的一些名词。

  在web开发中,我们大多都习惯使用http请求头中的某些属性来获取客户端的ip地址,常见的属性是remote_addr、http_via和http_x_forwarded_for

  这三个属性的含义,大概是如此:(摘自网上,欢迎指正)

  remote_addr:该属性的值是客户端跟服务器“握手”时候的ip。如果使用了“匿名代理”,remote_addr将显示代理服务器的ip。

  x-forwarded-for:是用来识别通过http代理或负载均衡方式连接到web服务器的客户端最原始的ip地址的http请求头字段。

    xff的有效性依赖于代理服务器提供的连接原始ip地址的真实性,因此, xff的有效使用应该保证代理服务器是可信的, 比如可以通过建立可信服务器白名单的方式。

  这一http头一般格式如下:

  x-forwarded-for: client1, proxy1, proxy2

  其中的值通过逗号+空格,把多个ip地址区分开, 最左边(client1)是最原始客户端的ip地址, 代理服务器每成功收到一个请求,就把请求来源ip地址添加到右边。 在上面这个例子中,这个请求成功通过了三台代理服务器:proxy1, proxy2 及 proxy3。请求由client1发出,到达了proxy3(proxy3可能是请求的终点)。请求刚从client1中发出时,xff是空的,请求被发往proxy1;通过proxy1的时候,client1被添加到xff中,之后请求被发往proxy2;通过proxy2的时候,proxy1被添加到xff中,之后请求被发往proxy3;通过proxy3时,proxy2被添加到xff中,之后请求的的去向不明,如果proxy3不是请求终点,请求会被继续转发。

  鉴于伪造这一字段非常容易,应该谨慎使用x-forwarded-for字段。正常情况下xff中最后一个ip地址是最后一个代理服务器的ip地址, 这通常是一个比较可靠的信息来源。

  (另附维基中对x-forwarded-for的完整介绍:http://zh.wikipedia.org/wiki/x-forwarded-for

  至于在使用这些属性的时候,属性的值是什么,网上查到一份这样的博文:获取用户ip地址的三个属性的区别

  而在asp.net中,还可以通过另外一种方式获得客户端的ip地址,那就是通过request对象中的userhostaddress属性。在msdn library中,对这个属性是这样解释的:属性值是远程客户端的 ip 地址。

  如果客户端使用了代理服务器,那么request.userhostaddress属性获得的就是代理服务器的ip地址。

二、方法

  好了,讲了那么多概念性的东西,咱们来讲一下实现的方法。

  网上大多数方法的思路是:如果有代理ip,则优先获取代理ip,否则获取连接客户端的ip;或者调转过来,先获取连接客户端的ip,如获取失败,则获取代理ip。

  以下方法参考博文asp.net获取客户端ip  (作者comeonfyz)

/// <summary>
/// 获取客户端ip地址
/// </summary>
/// <returns>若失败则返回回送地址</returns>
public static string getip()
{
  //如果客户端使用了代理服务器,则利用http_x_forwarded_for找到客户端ip地址
  string userhostaddress = httpcontext.current.request.servervariables["http_x_forwarded_for"].tostring().split(',')[0].trim();
  //否则直接读取remote_addr获取客户端ip地址
  if (string.isnullorempty(userhostaddress))
  {
    userhostaddress = httpcontext.current.request.servervariables["remote_addr"];
  }
  //前两者均失败,则利用request.userhostaddress属性获取ip地址,但此时无法确定该ip是客户端ip还是代理ip
  if (string.isnullorempty(userhostaddress))
  {
    userhostaddress = httpcontext.current.request.userhostaddress;
  }
  //最后判断获取是否成功,并检查ip地址的格式(检查其格式非常重要)
  if (!string.isnullorempty(userhostaddress) && isip(userhostaddress))
  {
    return userhostaddress;
  }
  return "127.0.0.1";
}

/// <summary>
/// 检查ip地址格式
/// </summary>
/// <param name="ip"></param>
/// <returns></returns>
public static bool isip(string ip)
{
  return system.text.regularexpressions.regex.ismatch(ip, @"^((2[0-4]\d|25[0-5]|[01]?\d\d?)\.){3}(2[0-4]\d|25[0-5]|[01]?\d\d?)$");
}

但是这样做有一个很严重的缺陷,那就是如大牛kingthy在其博文 使用http_x_forwarded_for获取客户端ip的严重后果   中所说的,"http_x_forwarded_for"这个值是通过获取http头的"x_forwarded_for"属性取得的,恶意破坏者可以很轻松地伪造ip地址;而且上文特别提到过,xff的有效性依赖于代理服务器提供的连接原始ip地址的真实性,因此, xff的有效使用应该保证代理服务器是可信的。但是作为开发者,我们既不知道用户的ip地址的真实性,更是难以分辨代理服务器的可信性。

  因此,综合各个方面的资料,我个人的想法与大牛kingthy一样:无视代理。

/// <summary>
/// 获取客户端ip地址
/// </summary>
/// <returns>若失败则返回回送地址</returns>
public static string getip()
{
  //如果客户端使用了代理服务器,则利用http_x_forwarded_for找到客户端ip地址
  string userhostaddress = httpcontext.current.request.servervariables["http_x_forwarded_for"].tostring().split(',')[0].trim();
  //否则直接读取remote_addr获取客户端ip地址
  if (string.isnullorempty(userhostaddress))
  {
    userhostaddress = httpcontext.current.request.servervariables["remote_addr"];
  }
  //前两者均失败,则利用request.userhostaddress属性获取ip地址,但此时无法确定该ip是客户端ip还是代理ip
  if (string.isnullorempty(userhostaddress))
  {
    userhostaddress = httpcontext.current.request.userhostaddress;
  }
  //最后判断获取是否成功,并检查ip地址的格式(检查其格式非常重要)
  if (!string.isnullorempty(userhostaddress) && isip(userhostaddress))
  {
    return userhostaddress;
  }
  return "127.0.0.1";
}

/// <summary>
/// 检查ip地址格式
/// </summary>
/// <param name="ip"></param>
/// <returns></returns>
public static bool isip(string ip)
{
  return system.text.regularexpressions.regex.ismatch(ip, @"^((2[0-4]\d|25[0-5]|[01]?\d\d?)\.){3}(2[0-4]\d|25[0-5]|[01]?\d\d?)$");
}

三、总结  

  无视代理服务器肯定不是最好的解决方案,如果项目需求明确说要客户端的真实地址,那肯定就不能无视代理服务器了。

  另外,我也向artech大牛请教过这方面的问题,他虽然对这些没有深入的研究,但是他也认为没有一种ip获取方式是完全值得信赖的,因为这是tcp/ip协议本身决定的。

  附上artech大牛给我的一份资料,分享分享。 

       以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持。