仕様書

構文

[11] IPv6アドレスは (括弧で括るなどせずに) 直接書くことができるようです。

[13] X-Forwarded-For: 欄を複数含めることにより (あるいは , によって連結することにより) 多段の串の通過を表現できます。

順序

[6] Wikipedia の説明によると先頭 (前) ほどクライアント側、末尾 (後) ほど鯖側の IPアドレスを表していることになっているようです。

[39] MDN も同じ順序を示しています。 >>37

[38] 実際には必ずしもこの順序が守られているわけでは無いようです。

[40] MDN は詳しい解説を載せていますが >>37、 その根拠をまったく示していません。

[41] そもそもこの機能は仕様書もなく慣習的に使われてきたもので、 どのように使われるべきか規範的で信頼できる根拠が何も存在していないのです。

[42] どのような順序にするのが正しいかという問題とは別に (しかし密接に関わる問題として)、 IPアドレスを1つ拾って何かをしたいとき、 どれを選ぶのが適切なのか、という問題があります。 >>15

[43] これも仕様が定まっていない上に、「用途による」としか言いようがないので答えるのが難しい。

[15] Ruby - Rack::Request#hostがX-Forwarded-Hostの最後のプロキシホストを返す理由 - Qiita [キータ] ( (2014-01-08 07:20:40 +09:00 版)) http://qiita.com/mechamogera/items/32db29aa0db91df704ba

実装

[36] さくらインターネットの共有レンタルサーバーでは、 X-Sakura-Forwarded-For: (HTTP_X_SAKURA_FORWARDED_FOR) が使われるようです。

[10] X-Client-IP:, CF-Connecting-IP:, X-Real-IP: といったヘッダーが使われることもあります。

Forwarded: ヘッダー for 引数

[20] Forwarded: ヘッダーの for 引数は、クライアントについての情報を表します >>19。

歴史

例

X-Forwarded-For: 192.0.2.43, 2001:db8:cafe::17

メモ

[5] X-Forwarded-For - Wikipedia, the free encyclopedia ( (2012-02-16 13:54:05 +09:00 版)) http://en.wikipedia.org/wiki/X-Forwarded-For

[7] suz-lab - blog: すでに"X-Forwarded-For"ヘッダのついたHTTPリクエストがELBを経由すると ( (2012-02-26 09:13:31 +09:00 版)) http://blog.suz-lab.com/2011/06/x-forwarded-forhttpelb.html

[8] リバースプロキシ環境下のapacheではmod_extract_forwardedよりもやっぱりmod_rpaf? - うまい棒blog ( (2012-02-26 12:29:26 +09:00 版)) http://d.hatena.ne.jp/hogem/20090622/1245675445

[9] mod_remoteip - Apache HTTP Server ( (2012-01-10 03:11:16 +09:00 版)) http://httpd.apache.org/docs/2.3/mod/mod_remoteip.html

[16] HTTP - XFF - Qiita ( (2014-02-21 10:00:39 +09:00 版)) http://qiita.com/wakaba@github/items/cf8730ca3d75b28d844a

[44] HTTP X-Forwarded-For: ヘッダー ($ENV{HTTP_X_FORWARDED_FOR}) のよくある話のまとめ

• reverse proxy よりも外側で付けられることがあるので、無条件で信頼しても良いわけではない
• reverse proxy より外で付けられた XFF は reverse proxy で落としても良いかもしれないが、
  • 落とす設定を忘れたり、いつのまにか無効になってたりすると困るので、値を信頼したいなら相応の予防措置が必要
  • XFF にはそれなりに有用な情報が詰まってるので最低でも reverse proxy のログには残したいし、アプリケーションサーバーで取りたくなることもあるかもしれない (しないかもしれない)
• reverse proxy よりも内側で付けられることがあるので (多段になっている場合)、ヘッダーや値が1つだけとは限らない
  • 最初は1つだけだと思っていたのに、後からキャッシュサーバーを挟む必要がでてきたら・・・?
• XFF が既にあるときに、前につける串と後につける串がある
  • なので最初とか最後とかを拾うだけではだめ
• データセンター内のプライベートIPアドレスを除去するという対策が提案されてる
  • なお、アプリケーションサーバー → キャッシュサーバー → reverse proxy → アプリケーションサーバーみたいな内部から内部への経路だと、グローバルアドレスの前にも後にも内部IPアドレスが付いた XFF になったりする
  • アプリケーションサーバー → proxy → アプリケーションサーバーのような経路を使うとグローバルIPアドレスが無い XFF になるので、それがあり得るならそれなりにケアが必要
• 最外 reverse proxy で相手のアドレスを独自ヘッダーに入れて XFF じゃなくてそちらを使う、という対策が提案されている
  • 独自ヘッダーが既に付けられている場合は落とす必要はやはりある
• ちなみに XFF が最も広く使われているが、他にも同目的のヘッダーがある
  • X-Client-IP:、X-Sakura-Forwarded-For:、CF-Connecting-IP: など
  • IETF は Forwarded: ヘッダーを新たに開発したが、本稿にまとめた問題を解決するものではない
  • 混在するとどれを採用するべきか問題がますます複雑になるので、 reverse proxy の類を作るなら、できるだけ XFF を採用したい

[17] How does CloudFlare handle HTTP Request headers? – CloudFlare Support ( (2014-05-09 04:16:11 +09:00 版)) https://support.cloudflare.com/hc/en-us/articles/200170986-How-does-CloudFlare-handle-HTTP-Request-headers-

[18] draft-nottingham-surrogates-00 - Requirements for Demand-Driven Surrogate Origin Servers ( (2014-10-06 08:47:36 +09:00 版)) http://tools.ietf.org/html/draft-nottingham-surrogates-00#section-3.7.1

[32] X-Forwarded-For Header :: Add-ons for Firefox ( (2014-10-26 06:17:51 +09:00 版)) https://addons.mozilla.org/ja/firefox/addon/x-forwarded-for-header/

[33] SOL4816 - Using the X-Forwarded-For HTTP header to preserve the original client IP address for traffic translated by a SNAT ( (2014-10-26 06:28:55 +09:00 版)) https://support.f5.com/kb/en-us/solutions/public/4000/800/sol4816.html

[34] Guidelines for Web Content Transformation Proxies 1za ( (2010-04-13 17:10:20 +09:00 版)) http://www.w3.org/2005/MWI/BPWG/Group/TaskForces/CT/editors-drafts/Guidelines/100402#sec-additional-headers