テクノロジー
こんばんは、X-Forwarded-For警察です - エムスリーテックブログ

気に入った記事をブックマーク

気に入った記事を保存できます
保存した記事の一覧は、はてなブックマークで確認・編集ができます
記事を読んだ感想やメモを書き残せます
非公開でブックマークすることもできます

こんばんは、X-Forwarded-For警察です - エムスリーテックブログ

テクノロジーカテゴリーの変更を依頼記事元:

www.m3tech.blog

適切な情報に変更

エントリーの編集

エントリーの編集は全ユーザーに共通の機能です。
必ずガイドラインを一読の上ご利用ください。

このページのオーナーなので以下のアクションを実行できます

タイトル、本文などの情報を
再取得することができます

コメントを非表示にできますコメント表示の設定

ブックマークしました

ここにツイート内容が記載されますhttps://b.hatena.ne.jp/URLはspanで囲んでください

Twitterで共有

次回からTwitterへ自動リダイレクト

ONにすると、次回以降このダイアログを飛ばしてTwitterに遷移します

468usersがブックマークコメント

コメントするにはログインが必要ですブックマークを追加

ブックマークを追加

よく使うタグ

こんばんは、X-Forwarded-For警察です - エムスリーテックブログ

468 users

www.m3tech.blog

よく使うタグ

はてなブックマークで
関心をシェアしよう

みんなの興味と感想が集まることで
新しい発見や、深堀りがもっと楽しく

ユーザー登録

アカウントをお持ちの方はログインページへ

記事へのコメント38件

注目コメント
新着コメント

オーナーコメントを固定しています

オーナーSampoid:tmatsuu 登場人物がすべて信頼外IPの場合、実ソースIPつまり最末尾を取りたいのだから2がそのまま有効です。3はエッジケース対策でして、プロキシサーバ上のシェルからcurlされているような場合への考慮です。

2021/02/04リンク

その他

ymm1x“アプリケーションコード中では、なるべくX-Forwarded-Forを自力で解釈するコードを書くことは避けたいです。”

2021/02/14リンク

その他

SongmuALBがそういうことやってくれないからGoのアプリ内でやってくれるミドルウェアを作ってしまったのがこれです…https://songmu.jp/riji/entry/2020-04-24-realip.html

2021/02/15リンク

その他

umai_bowこれのせいでCloudfront挟むのが（IPぜんぶ登録するのが）めんどくさいんですがどうすればいいのか教えてください

2021/02/15リンク

その他

uunfoapacheとngunxに専用のモジュールがあったとは／アクセス制御はロードバランサーでやるべきでは

2021/02/15リンク

その他

fashi手前サーバ前提ならそうなんかもしれんが共有サーバでの稼動だったりそもそもクライアントが変な串使ってるけどリアルIP漏れてるマヌケは記録しとこってケースもあるので信頼されたIPなんか知らんがなって実装するわ

2021/02/15リンク

その他

raimon49信頼できる中継元IPアドレスが指定できる。Apache/nginxの例。

2021/02/15リンク

その他

オーナーコメントを固定しています

2021/02/04リンク

その他

ikkitang1211読んだ

2023/08/02リンク

その他

sabotem覚えておく

2023/06/06リンク

その他

manhole“インフラ構成に起因する複雑さをなるべくインフラ設定側に押し出すことでアプリケーションに不必要な複雑さを持ち込ませない形にするのがよいと考えます” RemoteIPTrustedProxyを使う

2022/07/24リンク

その他

naglfar アプリケーションサーバに適切な設定を行えばアプリは remote_addr を取得するだけで済むんだ。すてき。

2021/03/24リンク

その他

pmakinoXFF を適切に解釈しつつ詐称を防ぐには信頼できるIPアドレスを列挙する必要があり面倒という知見を得た

2021/03/08リンク

その他

diveintounlimitんーまぁふつー。。。

2021/02/17リンク

その他

rryuクライアントが多段を偽装したX-Forwarded-Forを送ってきてそれを受け入れてしまう場合は最初のアドレスが本物とは限らないという話。

HTTP

2021/02/16リンク

その他

rawwell"上記解釈設定を入れたWebサーバをフロントに立てアプリケーションサーバとはAJPでつなぐことで、アプリケーションコード中では無邪気に getRemoteAddr() するだけでクライアントIPアドレスが取得できるようになる"

2021/02/16リンク

その他

hiroaki256x-forwarded-for

2021/02/16リンク

その他

tecklその昔アプリケーション側でX-Forwarded-Forを取得するようにしていて、また別の箇所ではREMOTE_ADDRを使ってしまっていて痛い目にあった淡い思い出…こういうのはリバプロの責務だよなぁ。。

2021/02/16リンク

その他

katzchang大変じゃわい

2021/02/15リンク

その他

2021/02/15リンク

その他

kasuke18“例えばJava Tomcat開発であればAJPがremote_addrを伝達してくれます”

2021/02/15リンク

その他

koroharoあぁ、信頼できないIPは末尾を取るってことか。でも、国外IPが国内プロキシを経由した場合、国内IPが採用されてしまうけど、それはよいのか？

2021/02/15リンク

その他

ryuichi1208real_ip_headerみたいなのfromIPが固定じゃ無いケースで使えないから辛い気が

2021/02/15リンク

その他

estragon“西に「最初のものを取る」コードを見つければ修正チケットを立て、東に「X-Forwarded-ForだとソースIP偽装が心配だよね」という議論があればプロキシ設定次第で回避可能ですよと伝えに行き、としているうちに”

2021/02/15リンク

その他

wata88googleのデータセーバーとかいうやつのせいでViaを考慮してXFF解かなきゃいけなくて実装する羽目になった

インフラ

2021/02/15リンク

その他

akibareログ解析で苦労するやつ

2021/02/15リンク

その他

kubecornいい記事。このあたりは手段も多いし良し悪しも様々なので正しい知見が多いに越したことはない。

2021/02/15リンク

その他

ko-ya-ma“なるべくX-Forwarded-Forを自力で解釈するコードを書くことは避けたいです”

2021/02/15リンク

その他

umai_bowこれのせいでCloudfront挟むのが（IPぜんぶ登録するのが）めんどくさいんですがどうすればいいのか教えてください

2021/02/15リンク

その他

miron_mikanでもこれ悪意あるプロキシの存在は無視してる気がするんだけど、それは仕方ないと判断するんかな

2021/02/15リンク

その他

likkPerl で Plack を使っているなら`Plack::Middleware::XForwardedFor` を使うと良さそう。同梱のテストの書き方も参考になる。

2021/02/15リンク

その他

yujiorama偽装の可能性があるので確実なリモートIPは取得できないやつ

2021/02/15リンク

その他

raimon49信頼できる中継元IPアドレスが指定できる。Apache/nginxの例。

2021/02/15リンク

その他

tettekete37564世の中的にはロードバランサやリバプロがヘッダに付与する ID とログから突き合わせてるのかなと思ってたが、これも違う気がする。NW 構成に依存する設計思想を実装に埋め込むとブラックボックス化しやすく保守難

2021/02/15リンク

その他

rrringress転送元の信頼性について。SMTP には SPF のような仕組みがあるけど HTTP には無いな。ページ内での origin とかとも違うし

2021/02/15リンク

その他

ya--mada🤔そうなのよねー、偽装というか内部のプロキシが変なヘッダー付けて外に出してくるとかなー

2021/02/15リンク

その他

uunfoapacheとngunxに専用のモジュールがあったとは／アクセス制御はロードバランサーでやるべきでは

2021/02/15リンク

その他

sen47あるある。こういうのSREだと部署にまたがって対処できるからいいよね。インフラチームだけだとインフラ側修正して完了になりがち。

2021/02/15リンク

その他

コメントするにはログインが必要ですログインしてコメント

注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

リンクを埋め込む

以下のコードをコピーしてサイトに埋め込むことができます

プレビュー

はてなブックマークボタンを作成して埋め込むこともできます

規約違反を報告

いまの話題をアプリでチェック！

バナー広告なし
ミュート機能あり
ダークモード搭載

アプリをダウンロード

usersに達しました！

さんが1番目にブックマークした記事「こんばんは、X-For...」が注目されています。

気持ちをシェアしよう

ツイートする

こんばんは、X-Forwarded-For警察です - エムスリーテックブログ

エムスリーエンジニアリンググループ製薬企業向けプラットフォームチームの三浦 (@yuba)です。普段はサ...エムスリーエンジニアリンググループ製薬企業向けプラットフォームチームの三浦 (@yuba)です。普段はサービス開発やバッチ処理開発をメインにやっておりますが、チームSREに参加してからはこれに加えて担当サービスのインフラ管理、そしてクラウド移行に携わっています。今回はそのクラウド移行の話そのものではないのですが、それと必ず絡んでくるインフラ設定に関してです。アクセス元IPアドレスを知りたい Webアプリケーションがアクセス元IPアドレスを知りたいシーンというのは、大まかに二つかと思います。ログ記録用と、アクセス制限ですね。どちらもアプリケーションそのものではなく手前のWebサーバの責務のようにも思えますが、そうとも言い切れません。動作ログ、特に異常リクエストをはじいた記録なんかにセットでIPアドレスを付けたいとなるとアプリケーション要件ですし、アクセス制限についてもマルチテナントサービ