应校验CDN可信IP段后再取X-Forwarded-For末位非私有IP:先确认$_SERVER['REMOTE_ADDR']属于Cloudflare/阿里云等官方IP白名单,再解析$_SERVER['HTTP_X_FORWARDED_FOR']中最后一个合法公网IP。
PHP 获取真实客户端 IP 时被 CDN 覆盖怎么办
直接读 $_SERVER['REMOTE_ADDR'] 拿到的是 CDN 节点的 IP,不是用户真实出口 IP。必须依赖 CDN 透传的 HTTP 头(如 X-Forwarded-For、X-Real-IP),但不能无条件信任——这些头可被伪造,必须结合可信代理白名单做校验。
只信任已知 CDN 的 X-Forwarded-For 最后一节
多数主流 CDN(Cloudflare、阿里云 CDN、腾讯云 CDN、又拍云)会在请求头中添加 X-Forwarded-For,格式为 "a.b.c.d, e.f.g.h, ...",其中最右边是发起请求的原始客户端 IP(前提是 CDN 配置了透传且未被中间代理污染)。但关键前提是:你得确认该请求确实来自可信 CDN 节点,否则攻击者可伪造头绕过。
- 先检查
$_SERVER['HTTP_X_FORWARDED_FOR']是否存在且非空 - 再验证
$_SERVER['REMOTE_ADDR']是否在你配置的 CDN IP 段内(例如 Cloudflare 官方公布的 IP 列表) - 若校验通过,取
X-Forwarded-For中以英文逗号分隔的最后一个非私有 IP(跳过127.0.0.1、10.0.0.0/8、172.16.0.0/12、192.168.0.0/16、100.64.0.0/10等)
不同 CDN 对应的可信头和校验方式差异
不是所有 CDN 都用 X-Forwarded-For;部分会改用自定义头,且源站 IP 白名单范围也不同:
- Cloudflare:优先看
$_SERVER['HTTP_CF_CONNECTING_IP'](不可伪造),同时校验$_SERVER['REMOTE_ADDR']是否在 Cloudflare IPv4 列表 中 - 阿里云 CDN:使用
$_SERVER['HTTP_X_REAL_IP'],需校验REMOTE_ADDR是否属于阿里云 CDN 回源段(如100.64.0.0/10不代表全部,要查官方最新文档) -
腾讯云 CDN:支持
X-Real-IP或X-Forwarded-For,但必须开启「透传客户端真实 IP」开关,且只对白名单回源 IP 生效 - 自建 Nginx 反代:需显式配置
proxy_set_header X-Real-IP $remote_addr;,并在 PHP 中校验REMOTE_ADDR是否为你自己的反代服务器 IP
别忘了禁用不安全的 fallback 逻辑
很多网上抄来的代码会写成「如果 X-Forwarded-For 不存在,就用 REMOTE_ADDR」,这在没 CDN 时看似合理,但一旦加了 CDN 却没配好透传,就会退化成暴露 CDN 节点 IP;更糟的是,有些代码还会拼接整个 X-Forwarded-For 字符串做判断,导致被伪造头注入恶意 IP。
立即学习“PHP免费学习笔记(深入)”;
- 永远不要直接返回未经校验的
HTTP_X_FORWARDED_FOR - 禁止 fallback 到
REMOTE_ADDR作为“真实用户 IP”——它只是网络链路最后一跳的地址 - 如果校验失败(比如
REMOTE_ADDR不在任何可信 CDN 段内),应视为「无法获取真实 IP」,返回null或记录告警,而不是妥协取值
真实场景里,IP 地址的可信边界不在 PHP 层,而在网络层:你得知道谁在帮你转发、谁被允许转发、以及哪些头是它们真正签名或强约束的。少一层校验,就多一分被伪造的风险。
