X-Forwarded-For

HTTP／HTTPS
版本はんぽん
HTTP/0.9 HTTP/1.0 HTTP/1.1 HTTP/2 HTTP/3
请求方法ほうほう
OPTIONS GET HEAD POST PUT DELETE TRACE CONNECT PATCH
报文主体しゅたい
頭あたま欄らん位い
Cookie ETag Location HTTP referer DNT X-Forwarded-For
狀態じょうたい碼
301 Moved Permanently 302 Found 303 See Other 307 Temporary Redirect 403 Forbidden 404 Not Found 451 Unavailable For Legal Reasons
相あい关主题
HTTP持久じきゅう连接 HTTP压缩 分ぶん块传输编码 WWW
查 论 编

X-Forwarded-For（XFF）是ぜ用よう来らい识别通どおり过HTTP代理だいり或ある负载均衡きんこう方式ほうしき连接到いたWeb服ふく务器的てき客きゃく户端最さい原始げんし的てきIP地ち址し的てきHTTP头字段だん。Squid缓存代理だいり服ふく务器的てき开发人じん员最早もはや引入了りょう这一HTTP头字段だん，并由IETF在ざいHTTP头字段だん标准化か草案そうあん^[1]中正ちゅうせい式しき提出ていしゅつ。

当今とうこん多数たすう缓存服ふく务器的てき使用しよう者しゃ为大型がたISP，为了通どおり过缓存そん的てき方式ほうしき来らい降くだ低てい他た们的外部がいぶ带宽，他た们常常つねづね通どおり过鼓励或强制きょうせい用よう户使用しよう代理だいり服ふく务器来らい接せっ入いれ互联网。有ゆう些情况下，这些代理だいり服ふく务器是ぜ透明とうめい代理だいり，用よう户甚至いたり不知ふち道どう自己じこ正ただし在ざい使用しよう代理だいり上じょう网。

如果没ぼつ有ゆうXFF或ある者もの其他类似技わざ术，所有しょゆう通どおり过代理だいり服ふく务器的てき连接只ただ会かい显示代理だいり服ふく务器的てきIP地ち址し，而非连接发起的てき原始げんしIP地ち址し，这样的てき代理だいり服ふく务器实际上じょう充当じゅうとう了りょう匿名とくめい服ふく务提供ていきょう者しゃ的てき角かく色しょく，如果连接的てき原始げんしIP地ち址し不可ふか得え，恶意访问的てき检测与预防的てき难度将はた大だい大だい增加ぞうか。XFF的てき有效ゆうこう性せい依よ赖于代理だいり服ふく务器提供ていきょう的てき连接原始げんしIP地ち址し的てき真ま实性，因いん此，XFF的てき有效ゆうこう使用しよう应该保ほ证代理だいり服ふく务器是ぜ可か信しん的てき，比ひ如可以通过建立こんりゅう可か信服しんぷく务器白しろ名めい单的方式ほうしき。

这一HTTP头一般いっぱん格式かくしき如下:

X-Forwarded-For: client1, proxy1, proxy2

其中的てき值通过一个 逗号+空そら格かく 把わ多た个IP地ち址し区分くぶん开, 最さい左ひだり边（client1）是ぜ最さい原始げんし客きゃく户端的てきIP地ち址し, 代理だいり服ふく务器每ごと成功せいこう收おさむ到いた一いち个请求もとめ，就把请求来らい源げんIP地ち址し添加てんか到いた右みぎ边。 在ざい上面うわつら这个例れい子中こなか，这个请求成功せいこう通どおり过了三さん台だい代理だいり服ふく务器：proxy1、proxy2和わproxy3。请求由よしclient1发出，到いた达了proxy3（proxy3可能かのう是ぜ请求的てき终点）。请求刚从client1中ちゅう发出时，XFF是ぜ空そら的てき，请求被ひ发往proxy1；通どおり过proxy1的てき时候，client1被ひ添加てんか到いたXFF中ちゅう，之これ后きさき请求被ひ发往proxy2;通つう过proxy2的てき时候，proxy1被ひ添加てんか到いたXFF中ちゅう，之これ后きさき请求被ひ发往proxy3；通どおり过proxy3时，proxy2被ひ添加てんか到いたXFF中ちゅう，之これ后きさき请求的てき的てき去さ向こう不明ふめい，如果proxy3不ふ是ぜ请求终点，请求会かい被ひ继续转发。

鉴于伪造这一いち字じ段だん非常ひじょう容易ようい，应该谨慎使用しようX-Forwarded-For字じ段だん。正常せいじょう情じょう况下XFF中ちゅう最さい后きさき一いち个IP地ち址し是ぜ最さい后きさき一个代理服务器的IP地ち址し, 这通常つうじょう是ぜ一个比较可靠的信息来源。

在ざい代理だいり转发及反はん向こう代理だいり中ちゅう经常使用しようX-Forwarded-For字じ段だん。

在ざい代理だいり转发的てき场景中ちゅう，你可以通过内部ぶ代理だいり链以及记录在网关设备上じょう的てきIP地ち址し追つい踪到网络中ちゅう客きゃく户端的てきIP地ち址し。处于安全あんぜん考こう虑，网关设备在ざい把わ请求发送到いた外そと网（因いん特とく网）前まえ，应该去除じょX-Forwarded-For字じ段だん里さと的てき所有しょゆう信しん息いき。这种情じょう况下所有しょゆう的てき信しん息いき都と表ひょう现为从内部ぶ网络公共こうきょうIP生成せいせい，因いん此X-Forwarded-For字じ段中だんなか的てき信しん息いき应该是ぜ可か靠もたれ的てき。

在ざい反はん向こう代理だいり的てき情じょう况下，你可以追踪到互联网上连接到いた你的服ふく务器的てき客きゃく户端的てきIP地ち址し，即そく使つかい你的网络服ふく务器和わ互联网在路ろ由よし上じょう是ぜ不可ふか达的。这种情じょう况下你不应该信任しんにん所有しょゆうX-Forwarded-For信しん息いき，其中有ちゅうう部分ぶぶん可能かのう是ぜ伪造的てき。因よし此需要よう建立こんりゅう一个信任白名单来确保X-Forwarded-For中ちゅう哪些IP地ち址し对你是ぜ可か信しん的てき。

最さい后きさき一次代理服务器的地址并没有记录在代理链中，因いん此只记录X-Forwarded-For字じ段だん是ぜ不ふ够的。完かん整せい起おこり见，Web服ふく务器应该记录请求来らい源げん的てきIP地ち址し以及X-Forwarded-For字じ段だん信しん息いき。

大だい多数たすうWeb服ふく务器可か以通过配置はいち在日ざいにち志こころざし中ちゅう记录X-Forwarded-For。Apache中ちゅう可か以非常ひじょう简单地ち修おさむ改あらため配置はいち来らい实现，但ただしMS IIS 6及以下か的てき版本はんぽん需要じゅよう第だい三方软件支持来实现。^[2]IIS7用よう户可以从IIS.net获得免めん费的IIS相しょう关组件けん来らい实现。^[3]

• 网络隐私
• 代理だいり服ふく务器
• X-Originating-IP（英えい语：X-Originating-IP）

1. ^ draft-petersson-forwarded-for-02 - Forwarded HTTP Extension. [2015-10-31]. （原始げんし内容ないよう存そん档于2019-12-20）. 
2. ^ Winfrasoft X-Forwarded-For for IIS （页面存そん档备份，存そん于互联网档案あん馆） 是ぜ一个通过添加XFF信しん息いき替がえ换C-IP信しん息いき的てきIIS 插件。
3. ^ blogs.iis.net. [2011-12-01]. （原始げんし内容ないよう存そん档于2015-03-26）. 

• Apache mod_extract_forwarded
• X-Forwarded-For in TMG2010 Free web filter for TMG2010 to add X-Forwarded-For header in inbound requests