【发布时间】:2023-03-05 12:26:01
【问题描述】:
我想知道使用 jsp 方法 request.getRemoteAddr(); 的安全问题。
我想过滤一些客户端 IP(我不能使用防火墙 :-()。
我想知道攻击者可以通过这种方式更改HTTP请求的ip源?
或者客户端 ip 是从第 3 层构建的?
我想检查此方法对伪造 HTTP 请求的安全性(类似于基于第 3 层 IP 的 ip 欺骗)。
谢谢大家,
安德烈亚
【问题讨论】:
-
我认为 HTTP 请求上的 IP 地址是发送响应的位置,因此如果攻击者假冒他的地址,他可能不会得到非常有用的响应。
-
所以不能更改HTTP请求上的IP?它是在第 3 层计算的?
-
@bdares: 不。响应是通过同一个连接发回的。
-
@EJP 那么我可以在请求中欺骗 IP 并在同一连接上返回响应吗?
-
如果客户端完全可以建立连接,并向下发送数据,是的。
标签: java security jsp httprequest