這篇文章主要介紹了java 僞造http請求ip地址的方法,小編覺得挺不錯的,現在分享給大家,也給大家做個參考。一起跟隨小編過來看看吧
最近做接口開發,需要跟第三方系統對接接口,基於第三方系統接口的保密性,需要將調用方的請求IP加入到他們的白名單中。由於我們公司平常使用的公網的IP是不固定的,每次都需要將代碼提交到固定的服務器上(服務器IP加入了第三方系統的白名單),頻繁的修改提交合並代碼和啓動服務器造成了額外的工作量,給接口聯調帶來了很大的阻礙。
正常的http請求
我們正常發起一個http的請求如下:
import org.apache.http.HttpEntity; import org.apache.http.client.config.RequestConfig; import org.apache.http.client.methods.CloseableHttpResponse; import org.apache.http.client.methods.HttpPost; import org.apache.http.entity.StringEntity; import org.apache.http.impl.client.CloseableHttpClient; import org.apache.http.impl.client.HttpClients; import org.apache.http.util.EntityUtils; public static String getPost4Json(String url, String json) throws Exception { CloseableHttpClient httpClient = HttpClients.createDefault(); HttpPost httpPost = new HttpPost(url); /* 設置超時 */ RequestConfig defaultRequestConfig = RequestConfig.custom().setSocketTimeout(5000).setConnectTimeout(5000).setConnectionRequestTimeout(5000).build(); httpPost.setConfig(defaultRequestConfig); httpPost.addHeader("Content-Type", "application/json;charset=UTF-8"); httpPost.setEntity(new StringEntity(json, "UTF-8")); CloseableHttpResponse response = null; String result = null; try { response = httpClient.execute(httpPost); HttpEntity entity = response.getEntity(); result = EntityUtils.toString(entity, "UTF-8"); } catch (Exception e) { throw e; } finally { if (response != null) response.close(); httpClient.close(); } return result; }
由於沒有加入白名單的原因,這樣的請求顯然無法調用到第三方的接口。這時候考慮能否將請求的ip改爲白名單的一個ip,服務器在解析時拿到的不是正常的ip,這樣能否正常調用呢?
僞造http請求ip地址
我們知道正常的tcp/ip在通信過程中是無法改變源ip的,也就是說電腦獲取到的請求ip是不能改變的。但是可以通過僞造數據包的來源ip,即在http請求頭加一個x-forwarded-for的頭信息,這個頭信息配置的是ip地址,它代表客戶端,也就是HTTP的請求端真實的IP。因此在上面代碼中加上如下代碼:
httpPost.addHeader("x-forwarded-for",ip);
服務端通過x-forwarded-for獲取請求ip,並且校驗IP安全性,代碼如下:
String ip = request.getHeader("x-forwarded-for");
總結
通過請求頭追加x-forwarded-for頭信息可以僞造http請求ip地址。但是若服務器不直接信任並且不使用傳遞過來的 X-Forward-For 值的時候僞造IP就不生效了。
以上就是本文的全部內容,希望對大家的學習有所幫助,也希望大家多多支持神馬文庫。