Debian Nginx日志中的X-Forwarded-For是什么

概念与作用

• X-Forwarded-For（XFF） 是 HTTP 的一个扩展请求头，用于在存在 代理、负载均衡、CDN 等中间设备时，传递客户端的原始 IP 地址。在 Nginx 日志中，常用变量 $http_x_forwarded_for 输出该字段，以便在访问日志里记录真实来源 IP，而不是仅看到反向代理或负载均衡器的 IP。需要注意，XFF 是“事实上的标准”，其标准化版本为 Forwarded（RFC 7239）。

格式与含义

• 基本格式：X-Forwarded-For: , , 。
• 位置语义：最左侧为原始客户端 IP，随后依次是每一跳代理的 IP；最右侧通常是紧邻服务端的最后一个代理 IP。
• 示例：XFF 为 203.0.113.195, 70.41.3.18, 150.172.238.178 时，表示客户端为 203.0.113.195，经过代理 70.41.3.18，再到 150.172.238.178 到达服务端。该字段可被客户端伪造，因此不可盲目信任。

在 Nginx 日志中的记录

• 直接在日志格式中使用 $http_x_forwarded_for 记录该头的值：

  log_format custom '$http_x_forwarded_for - $remote_user [$time_local] '
                    '"$request" $status $body_bytes_sent '
                    '"$http_referer" "$http_user_agent"';
  access_log /var/log/nginx/access.log custom;
  

• 若请求经过多层代理，XFF 可能出现多个 IP（逗号分隔）；若没有上游设置 XFF，该变量可能为空。为便于审计，建议同时记录 $remote_addr（直连对端 IP）与 $http_x_forwarded_for。

在反向代理链中的传递与取用

• 在 Nginx 作为反向代理时，使用 proxy_set_header 将上游的 XFF 继续向后传递，并追加本机直连对端 IP：

  location / {
      proxy_pass http://backend;
      proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
  }
  

• 变量 $proxy_add_x_forwarded_for 的行为：若请求头中已有 XFF，则在右侧追加 $remote_addr；若没有，则等价于 $remote_addr。
• 在后端应用（如 PHP）中，常见取法是优先取 HTTP_X_FORWARDED_FOR，回退到 REMOTE_ADDR：

  $client_ip = $_SERVER['HTTP_X_FORWARDED_FOR'] ?? $_SERVER['REMOTE_ADDR'];
  

• 安全要点：$remote_addr 来自 TCP 连接，通常不可伪造；而 XFF 可被伪造。在生产环境应仅信任来自受控代理/负载均衡的 XFF，建议结合可信代理白名单或在边界设备处清理/覆盖不可信的 XFF，再进行基于 IP 的访问控制或限流。