java 伪造http请求ip地址的方法

更新时间：2018年09月28日 09:14:50 作者：码魇

这篇文章主要介绍了java 伪造http请求ip地址的方法,小编觉得挺不错的，现在分享给大家，也给大家做个参考。一起跟随小编过来看看吧

最近做接口开发，需要跟第三方系统对接接口，基于第三方系统接口的保密性，需要将调用方的请求IP加入到他们的白名单中。由于我们公司平常使用的公网的IP是不固定的，每次都需要将代码提交到固定的服务器上（服务器IP加入了第三方系统的白名单），频繁的修改提交合并代码和启动服务器造成了额外的工作量，给接口联调带来了很大的阻碍。

正常的http请求

我们正常发起一个http的请求如下：

  import org.apache.http.HttpEntity;
  import org.apache.http.client.config.RequestConfig;
  import org.apache.http.client.methods.CloseableHttpResponse;
  import org.apache.http.client.methods.HttpPost;
  import org.apache.http.entity.StringEntity;
  import org.apache.http.impl.client.CloseableHttpClient;
  import org.apache.http.impl.client.HttpClients;
  import org.apache.http.util.EntityUtils;
  
  public static String getPost4Json(String url, String json) throws Exception {
    CloseableHttpClient httpClient = HttpClients.createDefault();
    HttpPost httpPost = new HttpPost(url);
    /* 设置超时 */
    RequestConfig defaultRequestConfig = RequestConfig.custom().setSocketTimeout(5000).setConnectTimeout(5000).setConnectionRequestTimeout(5000).build();
    httpPost.setConfig(defaultRequestConfig);
    httpPost.addHeader("Content-Type", "application/json;charset=UTF-8");
    httpPost.setEntity(new StringEntity(json, "UTF-8"));
    CloseableHttpResponse response = null;
    String result = null;
    try {
      response = httpClient.execute(httpPost);
      HttpEntity entity = response.getEntity();
      result = EntityUtils.toString(entity, "UTF-8");
    } catch (Exception e) {
      throw e;
    } finally {
      if (response != null) response.close();
      httpClient.close();
    }
    return result;
  }

由于没有加入白名单的原因，这样的请求显然无法调用到第三方的接口。这时候考虑能否将请求的ip改为白名单的一个ip，服务器在解析时拿到的不是正常的ip，这样能否正常调用呢？

伪造http请求ip地址

我们知道正常的tcp/ip在通信过程中是无法改变源ip的，也就是说电脑获取到的请求ip是不能改变的。但是可以通过伪造数据包的来源ip，即在http请求头加一个x-forwarded-for的头信息，这个头信息配置的是ip地址，它代表客户端，也就是HTTP的请求端真实的IP。因此在上面代码中加上如下代码：

httpPost.addHeader("x-forwarded-for",ip);

服务端通过x-forwarded-for获取请求ip，并且校验IP安全性，代码如下：

String ip = request.getHeader("x-forwarded-for");

总结

通过请求头追加x-forwarded-for头信息可以伪造http请求ip地址。但是若服务器不直接信任并且不使用传递过来的 X-Forward-For 值的时候伪造IP就不生效了。

以上就是本文的全部内容，希望对大家的学习有所帮助，也希望大家多多支持脚本之家。

您可能感兴趣的文章:

详解基于MybatisPlus两步实现多租户方案
这篇文章主要介绍了详解基于MybatisPlus两步实现多租户方案,本文分两步，通过实例代码给大家介绍的非常详细，对大家的学习或工作具有一定的参考借鉴价值，需要的朋友可以参考下
2021-04-04
SpringMVC集成Swagger实例代码
本篇文章主要介绍了SpringMVC集成Swagger实例代码，小编觉得挺不错的，现在分享给大家，也给大家做个参考。一起跟随小编过来看看吧
2017-04-04
idea报错之找不到符号:类的问题及解决
这篇文章主要介绍了idea报错之找不到符号:类的问题及解决方案,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教
2023-12-12
Java中不得不知的Collection接口与Iterator迭代器
这篇文章主要介绍了Java中的Collection接口与Iterator迭代器，文中有详细的代码示例供大家参考，对我们的学习或工作有一定的帮助,需要的朋友可以参考下
2023-06-06
四种Springboot常见全局时间格式化方式
这篇文章主要为大家详细介绍了Springboot实现全局时间格式化的四种常见方式,文中的示例代码讲解详细,感兴趣的小伙伴可以跟随小编一起学习一下
2023-12-12
Spring AOP实现原理解析
这篇文章主要为大家详细介绍了Spring AOP的实现原理，具有一定的参考价值，感兴趣的小伙伴们可以参考一下
2017-12-12
浅谈Java线程池的7大核心参数
本篇文章基于正在看这篇文章的你已经具备了基本的Java并发的相关知识.如果对于Java并发编程一无所知的话,请先看看Java并发编程的一些前导基础知识,文中有非常详细的图文示例及代码,,需要的朋友可以参考下
2021-05-05
springboot整合JavaCV实现视频截取第N帧并保存图片
这篇文章主要为大家详细介绍了springboot如何整合JavaCV实现视频截取第N帧并保存为图片,文中的示例代码讲解详细,感兴趣的小伙伴可以跟随小编一起了解一下
2023-08-08
一文带你学会Spring JDBC的使用
JDBC 就是数据库开发操作的代名词，因为只要是现代商业项目的开发那么一定是离不开数据库的，不管你搞的是什么，只要是想使用动态的开发结构，那么一定就是 JDBC ，那么下面来教教大家传统JDBC的使用
2022-09-09
Spring MVC 注解自动扫描失效原因分析
这篇文章主要介绍了Spring MVC 注解自动扫描失效原因分析,非常不错，具有参考借鉴价值，需要的朋友可以参考下
2016-07-07