[31] X-Forwarded-For: ヘッダー は、
串 (順串 や逆串 ) が直接のクライアント のIPアドレス を保存し、
次以降のホップ へと伝えるためのものです。
仕様書 [19] RFC 7239 - Forwarded HTTP Extension (2014-09-07 05:21:07 +09:00 版) https://tools.ietf.org/html/rfc7239#section-5.2 [26] RFC 7239 - Forwarded HTTP Extension (2014-09-07 05:21:07 +09:00 版) https://tools.ietf.org/html/rfc7239#section-7.4 構文 [11] IPv6アドレス は (括弧 で括るなどせずに) 直接書くことができるようです。
[12] Squid などが対応しているようです。鯖側Webアプリケーション の類では
IPv4アドレス にしか対応していないことが多々あります。[13] X-Forwarded-For: , 串 の通過を表現できます。
[14] 鯖側Webアプリケーション の類ではこれに対応していないこともあります。順序 [6] Wikipedia の説明によると先頭 (前) ほどクライアント 側、末尾 (後) ほど鯖 側の IPアドレス を表していることになっているようです。
[39] MDN >>37
[38] 実際には必ずしもこの順序が守られているわけでは無いようです。
[40] MDN >>37
[41] そもそもこの機能は仕様書 もなく慣習的に使われてきたもので、
どのように使われるべきか規範的で信頼できる根拠が何も存在していないのです。
[42]
どのような順序にするのが正しいかという問題とは別に (しかし密接に関わる問題として)、
IPアドレス を1つ拾って何かをしたいとき、
どれを選ぶのが適切なのか、という問題があります。
>>15
[43]
これも仕様が定まっていない上に、「用途による」としか言いようがないので答えるのが難しい。
[37]
X-Forwarded-For - HTTP | MDN , 2022-09-10T01:00:23.000Z , 2022-09-11T06:53:32.899Z https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Forwarded-For [15] Ruby - Rack::Request#hostがX-Forwarded-Hostの最後のプロキシホストを返す理由 - Qiita
( (2014-01-08 07:20:40 +09:00 版))
http://qiita.com/mechamogera/items/32db29aa0db91df704ba
実装 [36] さくらインターネット の共有レンタルサーバーでは、
X-Sakura-Forwarded-For: HTTP_X_SAKURA_FORWARDED_FOR
[10] X-Client-IP: CF-Connecting-IP: X-Real-IP:
といったヘッダー が使われることもあります。
Forwarded: ヘッダー for 引数[20] Forwarded: ヘッダー の for 引数 は、クライアント についての情報を表します >>19
値 [24] 値の構文は節点識別子 です >>19
節点識別子 [21] 既定 の設定では難読化識別子 を使うべきです >>19
[22] 必要ならかわりにIPアドレス (や場合によってはポート番号 )
を指定しても構いません >>19
[23] unknown >>19
歴史 誕生 [4] X-Forwarded-For: Squid が使い始めました。
[1] Nonstandard HTTP Headers http://web.archive.org/web/20020610043404/http://www.dais.is.tohoku.ac.jp/~kabe/WWW/nonstdhdr.html#X-Forwarded-For X-Forwarded-For: clientIPaddr |unknown
Squid が最初。 他のproxyがつけているのはSquidのマネ。 HTTP DraftがForwarded:からVia: へ変更されたのを受けて、 クライアントアドレスをどこかに残すために新設されました。
(changelogヨリ)
1.0.beta1: Forwarded: 追加 (User-Agent: ... via ... そのまま) 1.1.alpha17: User-Agent: via.. 廃止、Forwarded:のみ 1.1.beta21: Forwarded->Via 1.1.beta24: X-Forwarded-For 新設 この頃の Squid はバージョンアップがやたら激しく、 alphaだbetaだreleaseだといった違いにあまり意味はありません。
Forwarded: by proxy-URI [(product )] [for client-FQDN ]
draft-ietf-http-v10-spec-01.txt および draft-ietf-http-v11-spec-01.txt までの HTTP-draft に出現。 標準化に際しては 「冗長である」 という理由から Via: に置き換わっています。 "for ..." 部分は Via: から削られたため、Squid では代わりに X-Forwarded-For ヘッダを新設しました。 (当時まじめにDraft等を追っかけていたのは Squid くらいだったような気が)
Forwarded-For: ヘッダー[29] Forwarded-For: >>28
[28] draft-petersson-forwarded-for-00 - Forwarded HTTP Extension (2014-10-16 18:50:28 +09:00 版) https://tools.ietf.org/html/draft-petersson-forwarded-for-00 Forwarded: ヘッダー[30] >>28 は次の版で現在とほぼ同じ Forwarded: ヘッダー に拡張されました。
[25] RFC 7239 で X-Forwarded-For: Forwarded: ヘッダー の for 引数
>>19
例 [27] IPv6アドレス が含まれることもあります >>26
X-Forwarded-For: 192.0.2.43, 2001:db8:cafe::17 メモ [2]
Content Transformation Guidelines 1.0 (2008-08-01 01:46:12 +09:00 版) http://www.w3.org/TR/2008/WD-ct-guidelines-20080801/#sec-additional-headers [3] Guidelines for Web Content Transformation Proxies 1.0
( (2010-10-22 17:20:31 +09:00 版))
http://www.w3.org/TR/2010/NOTE-ct-guidelines-20101026/#sec-additional-headers [5] X-Forwarded-For - Wikipedia, the free encyclopedia
( (2012-02-16 13:54:05 +09:00 版))
http://en.wikipedia.org/wiki/X-Forwarded-For
[7] suz-lab - blog: すでに"X-Forwarded-For"ヘッダのついたHTTPリクエストがELBを経由すると
( (2012-02-26 09:13:31 +09:00 版))
http://blog.suz-lab.com/2011/06/x-forwarded-forhttpelb.html
[8] リバースプロキシ環境下のapacheではmod_extract_forwardedよりもやっぱりmod_rpaf? - うまい棒blog
( (2012-02-26 12:29:26 +09:00 版))
http://d.hatena.ne.jp/hogem/20090622/1245675445
[9] mod_remoteip - Apache HTTP Server
( (2012-01-10 03:11:16 +09:00 版))
http://httpd.apache.org/docs/2.3/mod/mod_remoteip.html
[16] HTTP - XFF - Qiita
( (2014-02-21 10:00:39 +09:00 版))
http://qiita.com/wakaba@github/items/cf8730ca3d75b28d844a
[44]
HTTP
X-Forwarded-For: ヘッダー
($ENV{HTTP_X_FORWARDED_FOR }) のよくある話のまとめ
reverse proxy よりも外側で付けられることがあるので、無条件で信頼しても良いわけではない reverse proxy より外で付けられた XFF は reverse proxy で落としても良いかもしれないが、落とす設定を忘れたり、いつのまにか無効になってたりすると困るので、値を信頼したいなら相応の予防措置が必要 XFF にはそれなりに有用な情報が詰まってるので最低でも reverse proxy のログには残したいし、アプリケーションサーバーで取りたくなることもあるかもしれない (しないかもしれない) reverse proxy よりも内側で付けられることがあるので (多段になっている場合)、ヘッダーや値が1つだけとは限らない最初は1つだけだと思っていたのに、後からキャッシュサーバーを挟む必要がでてきたら・・・? XFF が既にあるときに、前につける串と後につける串がある データセンター内のプライベートIPアドレスを除去するという対策が提案されてるなお、アプリケーションサーバー → キャッシュサーバー → reverse proxy → アプリケーションサーバーみたいな内部から内部への経路だと、グローバルアドレスの前にも後にも内部IPアドレスが付いた XFF になったりする アプリケーションサーバー → proxy → アプリケーションサーバーのような経路を使うとグローバルIPアドレスが無い XFF になるので、それがあり得るならそれなりにケアが必要 最外 reverse proxy で相手のアドレスを独自ヘッダーに入れて XFF じゃなくてそちらを使う、という対策が提案されている独自ヘッダーが既に付けられている場合は落とす必要はやはりある ちなみに XFF が最も広く使われているが、他にも同目的のヘッダーがあるX-Client-IP:、X-Sakura-Forwarded-For:、CF-Connecting-IP: などIETF は Forwarded: ヘッダーを新たに開発したが、本稿にまとめた問題を解決するものではない 混在するとどれを採用するべきか問題がますます複雑になるので、 reverse proxy の類を作るなら、できるだけ XFF を採用したい [17] How does CloudFlare handle HTTP Request headers? – CloudFlare Support
( (2014-05-09 04:16:11 +09:00 版))
https://support.cloudflare.com/hc/en-us/articles/200170986-How-does-CloudFlare-handle-HTTP-Request-headers-
[18] draft-nottingham-surrogates-00 - Requirements for Demand-Driven Surrogate Origin Servers
( (2014-10-06 08:47:36 +09:00 版))
http://tools.ietf.org/html/draft-nottingham-surrogates-00#section-3.7.1
[32] X-Forwarded-For Header :: Add-ons for Firefox
( (2014-10-26 06:17:51 +09:00 版))
https://addons.mozilla.org/ja/firefox/addon/x-forwarded-for-header/
[33] SOL4816 - Using the X-Forwarded-For HTTP header to preserve the original client IP address for traffic translated by a SNAT
( (2014-10-26 06:28:55 +09:00 版))
https://support.f5.com/kb/en-us/solutions/public/4000/800/sol4816.html
[34] Guidelines for Web Content Transformation Proxies 1za
( (2010-04-13 17:10:20 +09:00 版))
http://www.w3.org/2005/MWI/BPWG/Group/TaskForces/CT/editors-drafts/Guidelines/100402#sec-additional-headers
[35] mod_proxy - Apache HTTP Server Version 2.4
(2015-02-15 17:51:02 +09:00 版)
http://httpd.apache.org/docs/current/en/mod/mod_proxy.html#x-headers X-Forwarded-For
The IP address of the client.