Получение IP-адреса клиента - это, наверное, один из самых интересных и неоднозначных вопросов не только в ASP.NET, но и вообще в веб-разработке. Вариантов, как это сделать несколько, и у каждого из способов есть как сторонники, так и противники. Попробую рассказать вам об этих вариантах, чем они отличаются друг от друга и что лучше использовать.
Итак, самый широко известный в мире ASP.NET способ получения IP-адреса клиента - это использование HttpContext.Current.Request.UserHostAddress, который, по сути является оберткой над HTTP заголовком REMOTE_ADDR, в которую записывается адрес хоста от которого серверу пришел запрос. А этот заголовок используется практически во всех языках программирования, для целей определения IP клиента. И везде не утихают споры правильно ли использовать именно его. Почему? Потому, что REMOTE_ADDR содержит адрес компьютера, установившего соединение с сервером. Во времена становления интернет и появления протокола HTTP этик компьютером почти наверняка являлся клиент, так что все было хорошо. Сейчас же, в большинстве случаев, в REMOTE_ADDR будет адрес прокси сервера внутренней сети (корпоративной, или домашней - смысла это не меняет) через который прошел запрос клиента.
И еще один пример, с которым, особенно часто сталкиваются Linux программисты, в результате криво настроенного nginx. ;)
Представьте себе ситуацию, что у вас есть криво настроенный балансировщик нагрузки. В таком случае в REMOTE_ADDR будет 10.10.0.2, что, естественно совершенно не клиентский адрес.
В общем-то именно из-за этих двух моментов, касающихся REMOTE_ADDR, многие рекомендуют использовать для целей получения адреса клиента другой заголовок - HTTP_X_FORWARDED_FOR, придуманный в свое время создателями кеширующего прокси-сервера Squid.
Этот заголовок, в идеале, должен содержать всю цепочку IP-адресов от клиента до вашего сервера, перечисленных через запятую. Почему в идеале? Потому, что, во-первых, этот заголовок передается самим клиентом, то есть, в него можно записать все что угодно, например "la-la-la", в результате чего, если между злодейским клиентгм и вашим сервером один прокси,
HTTP_X_FORWARDED_FOR будет содержать что-то типа:
la-la-la, 192.168.0.10
Так что, как вы наверное догадались, использовать этот заголовок так, как часто рекомендуют в интернетах нельзя. Забудьте про этот вариант:
if (HttpContext.Current.Request.ServerVariables["HTTP_X_FORWARDED_FOR"] != null)
{
return HttpContext.Current.Request.ServerVariables["HTTP_X_FORWARDED_FOR"].ToString();
}
Во-первых, там может быть что угодно, а не обязательно IP-адрес. А во-вторых, потому, что содержать реальный IP-адрес клиента в чистом виде этот заголовок будет только в случае если между клиентом и вами всего один прокси и клиент имеет нормальный полноценный IP.
В 99.9% случае это будет адрес из приватной подсети 192.168.*.* Так что, если уж вы решили использовать HTTP_X_FORWARDED_FOR, то, как минимум, проверяйте что там вообще IP-адрес и из какого он IP-диапазона.
string ipAddr = HttpContext.Current.Request.ServerVariables["HTTP_X_FORWARDED_FOR"].ToString();
if (Regex.IsMatch(ipAddr,"^(([0-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5])\.){3}([0-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5])$"))
{
if (!(ipAddr.StartsWith("192.168.")||(ipAddr.StartsWith("10.")))
{
return ipAddr;
}
}
return HttpContext.Current.Request.UserHostAddress;
Если же HTTP_X_FORWARDED_FOR cодержит несколько адресов, то рекомендую использовать второй, так как первый адрес практически гарантированно будет из внутренней подсети. Ну и, естественно, не забываем проверять содержимое.
string ipAddr = HttpContext.Current.Request.ServerVariables["HTTP_X_FORWARDED_FOR"].ToString();
if (!string.IsNullOrEmpty(ipAddr))
{
string[] addresses = ipAddr.Split(',');
if (addresses.Length == 1)
{
ipAddr = addresses[0];
}
else if (addresses.Length >1)
{
ipAddr = addresses[1];
}
if (Regex.IsMatch(ipAddr,"^(([0-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5])\.){3}([0-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5])$"))
{
if (!(ipAddr.StartsWith("192.168.")||(ipAddr.StartsWith("10."))))
{
return ipAddr;
}
}
}
return HttpContext.Current.Request.UserHostAddress;
Так что, именно вот такой код, по моему мнению, является наиболее правильным вариантом определения IP адреса клиента. Хотя, как мне кажется, в большинстве случаев, все же вполне достаточно Request.UserHostAddress или Request.ServerVariables["REMOTE_ADDR"].
Ну а в случае, если вы получаете IP клиента из соображений безопасности, например для проверки валидности сессии, то самым правильным в таком случае будет самое простое решение - сравнивать все, что есть, например в виде простой строки:
string ipAddrForSecurity = HttpContext.Current.Request.UserHostAddress+HttpContext.Current.Request.ServerVariables["HTTP_X_FORWARDED_FOR"].ToString();
Комментариев нет:
Отправить комментарий