Cloudfalre大问题:

wawos

没有找到可以添加自定义Http头的地方,

导致网站不能100%可信的获取访问者真实IP,

导致网站的基于IP判断的所有安全规则全部无效




补充 问题解决, 答案22楼, 原来CF也可以编辑header头: Rules > Transform Rules > Modify Request Header

或 规则 - Overview 新

liuyangge

CF 回源不是有添加 HTTP_CF_CONNECTING_IP 吗

aec

你不知道，不等于没有

Showfom

你要的功能 Cloudflare 也有

Rules > Transform Rules > Modify Request Header

参考文档

https://developers.cloudflare.com/rules/transform/request-header-modification/

Hetzner

所以我对外不开放80/443，直接用tunnel，跟cf开一个点对点专用隧道，获取真实ip就不用x-forwarded-for，改用cf-connecting-ip头，稳定运行近2年，没有任何问题。

wawos

何处不惹尘埃 发表于 2024-12-24 20:03
你想要的增加/修改请求头 CF 是有的, 22 楼有提到. https://fd.vvwvv.eu.org/forum.php?mod=redirect&goto=fi ...

cf确实也有这个功能啊, 上午一直没找到在哪里, 刚才看见了



也想过通过ADDR来判断, 几十条IP段, 每个访问都要判断几十次, 消耗会很大吧

何处不惹尘埃

wawos 发表于 2024-12-24 11:44
这些勉强能判断, 但没法100%可信, 因为这些公开的header名称别人都是知道的, 可以随便添加,

主要是CF没 ...

你想要的增加/修改请求头 CF 是有的, 22 楼有提到. https://fd.vvwvv.eu.org/forum.php?mo ... 85&pid=16145277

此外, 你是希望使用 CF 呢? 还是不使用 CF 啊?
1. 如果使用 CF, 那么源服务器只允许 CF 的 IP 段请求.
2. 如果你希望多种 CDN 混合使用, 可以通过判断 REMOTE_ADDR 字段来分辨来源于哪一个 CDN, 然后再根据对应 CDN 的来源用户 IP 地址字段进行判断即可.

wawos

Showfom 发表于 2024-12-24 19:57
你要的功能 Cloudflare 也有

Rules > Transform Rules > Modify Request Header

very good, 有这功能啊 !!!

wawos

何处不惹尘埃 发表于 2024-12-24 19:37
cf 会添加如下字段:
HTTP_CF_VISITOR
HTTP_CF_RAY

这些勉强能判断, 但没法100%可信, 因为这些公开的header名称别人都是知道的, 可以随便添加,

主要是CF没有自定义添加header 头名称的功能,

有这功能的话, 自己CF后台添加一个zaeraasdmkpbkxmjhasx (这个名称别人是不知道的), 网站服务器判断存在zaeraasdmkpbkxmjhasx就可以100%确定是来自CF的访问, 安心的从CF_CONNECTING_IP取用户真实IP了

何处不惹尘埃

cf 会添加如下字段:
HTTP_CF_VISITOR
HTTP_CF_RAY
HTTP_CF_IPCOUNTRY
HTTP_CF_CONNECTING_IP
HTTP_CDN_LOOP
要判断是不是 cf 还不容易啊...
HTTP_CF_CONNECTING_IP是请求者的 IP 地址. 只要有以上几个字段或者HTTP_CDN_LOOP内是 Cloudflare 或cloudflare; loops=1那就是 CF 的

----------------------------------------------------------------

小尾巴~~~~~

Typeboom

你不会在边缘禁了带xff的请求吗

iiii.im

1. set_real_ip_from 0.0.0.0/0;
   
2. set_real_ip_from ::/0;
   
3. real_ip_header X-Forwarded-For;

复制代码

丢在nginx配置文件中