【发布时间】:2010-08-01 19:34:34
【问题描述】:
X-Forwarded-For (XFF) HTTP 标头值的值可以是多少个字符?
例子是: X-Forwarded-For:client1、proxy1、proxy2
【问题讨论】:
标签: http-headers
【发布时间】:2010-08-01 19:34:34
【问题描述】:
AFAIK,没有限制。请注意,您不应该依赖它的价值;可以是spoofed easily。 (但请注意,如果您使用的是覆盖此值的负载平衡代理,您可以在您自己设置时依赖它)
【讨论】:
-
但是,如果您的所有连接都通过负载均衡器(或其他代理)进入,并且您不允许世界连接到您的裸后端服务器的 80 和 443,那么您可以依赖标头,因为好的负载均衡器总是会覆盖用户可能尝试提供的任何虚构值,并使用从客户端 IP 地址计算得出的真实值。
-
@Brandon:是的,如果您使用负载平衡代理控制其值,您可以依赖它。
-
在你的答案中添加这个花絮——这样用户就不会认为 X-Forwarded-For 在任何情况下都是可欺骗的,我很乐意为你的答案 +1——谢谢!
请参阅this、this 和 this(相关 SO 问题)。
规范没有指定限制(理论上是无限的)。但是,存在特定于实现的限制。
IIS 6/7 允许每个标头最多 16K,apache 将 default to 8K。
【讨论】: