java 伪造http请求ip地址的方法
最近做接口开发,需要跟第三方系统对接接口,基于第三方系统接口的保密性,需要将调用方的请求IP加入到他们的白名单中。由于我们公司平常使用的公网的IP是不固定的,每次都需要将代码提交到固定的服务器上(服务器IP加入了第三方系统的白名单),频繁的修改提交合并代码和启动服务器造成了额外的工作量,给接口联调带来了很大的阻碍。
正常的http请求
我们正常发起一个http的请求如下:
importorg.apache.http.HttpEntity;
importorg.apache.http.client.config.RequestConfig;
importorg.apache.http.client.methods.CloseableHttpResponse;
importorg.apache.http.client.methods.HttpPost;
importorg.apache.http.entity.StringEntity;
importorg.apache.http.impl.client.CloseableHttpClient;
importorg.apache.http.impl.client.HttpClients;
importorg.apache.http.util.EntityUtils;
publicstaticStringgetPost4Json(Stringurl,Stringjson)throwsException{
CloseableHttpClienthttpClient=HttpClients.createDefault();
HttpPosthttpPost=newHttpPost(url);
/*设置超时*/
RequestConfigdefaultRequestConfig=RequestConfig.custom().setSocketTimeout(5000).setConnectTimeout(5000).setConnectionRequestTimeout(5000).build();
httpPost.setConfig(defaultRequestConfig);
httpPost.addHeader("Content-Type","application/json;charset=UTF-8");
httpPost.setEntity(newStringEntity(json,"UTF-8"));
CloseableHttpResponseresponse=null;
Stringresult=null;
try{
response=httpClient.execute(httpPost);
HttpEntityentity=response.getEntity();
result=EntityUtils.toString(entity,"UTF-8");
}catch(Exceptione){
throwe;
}finally{
if(response!=null)response.close();
httpClient.close();
}
returnresult;
}
由于没有加入白名单的原因,这样的请求显然无法调用到第三方的接口。这时候考虑能否将请求的ip改为白名单的一个ip,服务器在解析时拿到的不是正常的ip,这样能否正常调用呢?
伪造http请求ip地址
我们知道正常的tcp/ip在通信过程中是无法改变源ip的,也就是说电脑获取到的请求ip是不能改变的。但是可以通过伪造数据包的来源ip,即在http请求头加一个x-forwarded-for的头信息,这个头信息配置的是ip地址,它代表客户端,也就是HTTP的请求端真实的IP。因此在上面代码中加上如下代码:
httpPost.addHeader("x-forwarded-for",ip);
服务端通过x-forwarded-for获取请求ip,并且校验IP安全性,代码如下:
Stringip=request.getHeader("x-forwarded-for");
总结
通过请求头追加x-forwarded-for头信息可以伪造http请求ip地址。但是若服务器不直接信任并且不使用传递过来的X-Forward-For值的时候伪造IP就不生效了。
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持毛票票。