Los encabezados adicionales (generalmente identificables por una convención obsoleta de usar X- como prefijo) son solo una convención. Y puede editarlo cualquier persona con acceso a la conexión de texto sin formato entre el cliente y el servidor.
Por lo tanto, la presencia de un X-Forwarded-for (o "Via", o algunas otras variantes) no es un indicador confiable de la IP real. La ausencia de dicho encabezado no es un indicador de una conexión directa. OTOH puede agregar cierta importancia a la presencia de dicho encabezado en una solicitud HTTPS.
Si está intentando robar un banco, y el banco ignora la dirección del cliente en presencia de un encabezado X-Forwarded-For, le brindaron una forma muy sencilla de cubrir sus rastros.
Es posible, aunque es muy difícil , falsificar la dirección" de "que aparece en los paquetes TCP / IP. Por lo tanto, generalmente se puede confiar en un punto final preciso (pero el cliente real puede estar en una dirección diferente que usa este dispositivo como un enrutador / proxy NAT).
Sé que [tor] proxy recibe mi solicitud y la reenvía en su nombre, ¿por qué X-Forwarded-For IP no hace lo mismo?
En primer lugar, X-Forwarded-For es un poco de texto en su solicitud, mientras que tor es una infraestructura de red y protocolos asociados. En segundo lugar, el contexto en el que se agrega el encabezado es cuando las conexiones se envían a través de un proxy que volverá a ensamblar el flujo de paquetes y, a continuación, podrá realizar varias operaciones en la solicitud, que pueden incluir enviar la solicitud al host de origen.