当前位置：移动技术网 > IT编程>开发语言>Java > java 伪造http请求ip地址的方法

java 伪造http请求ip地址的方法

2019年07月19日 | 移动技术网IT编程 | 我要评论

最近做接口开发，需要跟第三方系统对接接口，基于第三方系统接口的保密性，需要将调用方的请求ip加入到他们的白名单中。由于我们公司平常使用的公网的ip是不固定的，每次都需要将代码提交到固定的服务器上（服务器ip加入了第三方系统的白名单），频繁的修改提交合并代码和启动服务器造成了额外的工作量，给接口联调带来了很大的阻碍。

正常的http请求

我们正常发起一个http的请求如下：

  import org.apache.http.httpentity;
  import org.apache.http.client.config.requestconfig;
  import org.apache.http.client.methods.closeablehttpresponse;
  import org.apache.http.client.methods.httppost;
  import org.apache.http.entity.stringentity;
  import org.apache.http.impl.client.closeablehttpclient;
  import org.apache.http.impl.client.httpclients;
  import org.apache.http.util.entityutils;
  
  public static string getpost4json(string url, string json) throws exception {
    closeablehttpclient httpclient = httpclients.createdefault();
    httppost httppost = new httppost(url);
    /* 设置超时 */
    requestconfig defaultrequestconfig = requestconfig.custom().setsockettimeout(5000).setconnecttimeout(5000).setconnectionrequesttimeout(5000).build();
    httppost.setconfig(defaultrequestconfig);
    httppost.addheader("content-type", "application/json;charset=utf-8");
    httppost.setentity(new stringentity(json, "utf-8"));
    closeablehttpresponse response = null;
    string result = null;
    try {
      response = httpclient.execute(httppost);
      httpentity entity = response.getentity();
      result = entityutils.tostring(entity, "utf-8");
    } catch (exception e) {
      throw e;
    } finally {
      if (response != null) response.close();
      httpclient.close();
    }
    return result;
  }

由于没有加入白名单的原因，这样的请求显然无法调用到第三方的接口。这时候考虑能否将请求的ip改为白名单的一个ip，服务器在解析时拿到的不是正常的ip，这样能否正常调用呢？

伪造http请求ip地址

我们知道正常的tcp/ip在通信过程中是无法改变源ip的，也就是说电脑获取到的请求ip是不能改变的。但是可以通过伪造数据包的来源ip，即在http请求头加一个x-forwarded-for的头信息，这个头信息配置的是ip地址，它代表客户端，也就是http的请求端真实的ip。因此在上面代码中加上如下代码：

httppost.addheader("x-forwarded-for",ip);

服务端通过x-forwarded-for获取请求ip，并且校验ip安全性，代码如下：

string ip = request.getheader("x-forwarded-for");

总结

通过请求头追加x-forwarded-for头信息可以伪造http请求ip地址。但是若服务器不直接信任并且不使用传递过来的 x-forward-for 值的时候伪造ip就不生效了。

以上就是本文的全部内容，希望对大家的学习有所帮助，也希望大家多多支持移动技术网。

您可能感兴趣的文章:

如对本文有疑问，点击进行留言回复！！

使用wmic查看远程服务器磁盘空间剩余量

1、准备工作1.1、远程服务器的IP、主机账号及密码确认远程服务器IP地址、主机账号及密码。1.2、服务确认开启... [阅读全文]
算法之算法概述

目录一、算法概述1、算法和数据结构（1）什么是算法？（2）什么是数据结构？2、时间复杂度（1）执行次数（2）渐进... [阅读全文]
【大学分析】平均分384分！985厦门大学计算机专硕爆满！

【大学分析】栏目小编带你分析各个大学计算机考研真实报考数据，尝试探究考研难度和风险。厦门大学位于福建省厦门市，是... [阅读全文]
PTA 互评成绩计算（四舍五入函数出错？）

在浙大的计算机专业课中，经常有互评分组报告这个环节。一个组上台介绍自己的工作，其他组在台下为其表现评分。最后这个... [阅读全文]
量子计算机方面有新突破？silq详讲！

大约在四五个月前，我看在我所有计算机群里都在热传：“量子计算机领域有新突破！silq语言诞生！”。这个文章就让我... [阅读全文]
第九章同步

第九章同步9.1 背景到目前为止多道程序设计(multi- programming) :现代操作系统的重要特性... [阅读全文]
【深度学习笔记（五）】之卷积神经网络组成介绍

一.卷积神经网络（CNN）（一）结构组成经典的神经网络我们之间已经讲过了，现在我们要讲的是卷积神经... [阅读全文]
计算机里为什么不能精确表示浮点数

计算机的世界是一个二进制的世界。我们先来看看十进制和二进制的相互转换。十进制 --> 二进制：对... [阅读全文]
【奥鹏作业答案库网】大工20春《应用统计》在线作业1【奥鹏作业答案】

大工20春《应用统计》在线作业1试卷总分:100 得分:100一、单选题 (共 10 道试题,共 60 分)1... [阅读全文]
【操作系统学习笔记】一、操作系统概述

操作系统概述操作系统的基本特征1. 并发2. 共享3. 虚拟4. 异步操作系统的基本功能1. 进程管理2. 内存... [阅读全文]

网友评论


验证码：

java 伪造http请求ip地址的方法

2019年07月19日 | 移动技术网IT编程 | 我要评论

您可能感兴趣的文章:

相关文章:

网友评论