Exemplo n.º 1
0
        /// <summary>
        /// 获取IP(想获取到真实是IP,前提条件是不存在伪造,如果第一台客户机伪造了【HTTP_X_FORWARDED_FOR】,那么服务器也拿不到真实的IP)
        /// </summary>
        /// <returns></returns>
        public static string GetRealIP(this HttpRequestBase request)
        {
            //TODO: 检测【HTTP_X_FORWARDED_FOR】信息是否会引发【SQL注入】或【XSS】安全漏洞

            /*获取IP的步骤(不管是否有【nginx】反向代理服务器)
             *  1.获取【HTTP_X_REAL_IP】地址。如果有,说明是访问【nginx】的真实IP;如果没有,说明没有使用【nginx】,继续下一步
             *  2.获取【HTTP_X_FORWARDED_FOR】地址,如果有,说明使用了代理,则拿到第一个IP;如果没有,说明没有使用代理,继续下一步
             *  3.获取【UserHostAddress】地址,该地址与【REMOTE_ADDR】一致,是真实IP
             */

            try
            {
                //1.获取【HTTP_X_REAL_IP】地址
                //如果部署了【nginx】服务器,那么就获取直接访问【nginx】服务器的客户机(有可能是代理)
                string resultIp = request.GetIPOfCallNginx();

                if (!string.IsNullOrWhiteSpace(resultIp))
                {
                    return(resultIp);
                }

                //2.获取【HTTP_X_FORWARDED_FOR】地址
                resultIp = request.ServerVariables["HTTP_X_FORWARDED_FOR"];

                //可能有代理
                if (!string.IsNullOrWhiteSpace(resultIp))
                {
                    //没有"." 肯定是非IP格式
                    if (!resultIp.Contains("."))
                    {
                        resultIp = string.Empty;
                    }
                    else
                    {
                        //有","表示经过了多个代理。取第一个不是内网的IP。
                        if (resultIp.Contains(","))
                        {
                            resultIp = resultIp.Replace(" ", string.Empty)
                                       .Replace(";", string.Empty)
                                       .Replace("\"", string.Empty);

                            string[] proxyIps = resultIp.Split(",".ToCharArray()) ?? new string[] { };

                            foreach (var ip in proxyIps)
                            {
                                //是IP格式,并且不是内网地址
                                if (IsIPAddress(ip) &&
                                    ip.Substring(0, 3) != "10." &&
                                    ip.Substring(0, 7) != "192.168" &&
                                    ip.Substring(0, 7) != "172.16." &&
                                    ip.Substring(0, 7) != "172.31.")
                                {
                                    return(ip);
                                }
                            }
                        }
                        //是IP格式
                        else if (IsIPAddress(resultIp))
                        {
                            return(resultIp);
                        }
                        //内容非IP
                        else
                        {
                            resultIp = string.Empty;
                        }
                    }
                }

                //没有代理,则直接拿REMOTE_ADDR,这是真实IP
                if (string.IsNullOrWhiteSpace(resultIp))
                {
                    //【UserHostAddress】属性和http-head【REMOTE_ADDR】是一致的
                    //【REMOTE_ADDR】 是客户机TCP与我们应用服务器建立时对方的真实IP,不存在伪造
                    // 如果部署了【nginx】作为反向代理服务器,那么【REMOTE_ADDR】和【UserHostAddress】都是nginx服务器的真实IP

                    resultIp = request.UserHostAddress;
                }

                return(resultIp);
            }
            catch (Exception ex)
            {
                logger.Error(ex, "获取客户IP出现异常");

                return(string.Empty);
            }
        }