El encabezado X-Forwarded-For es utilizado por algunos proxies HTTP para identificar la dirección IP de el cliente. La página wiki (vinculada arriba) menciona que los ISP también pueden usar este encabezado.
Además, hay una variedad de encabezados adicionales que pueden usarse para identificar a un cliente. Algunos ejemplos incluyen:
- HTTP_CLIENT_IP
- HTTP_X_FORWARDED_FOR puede ser una lista de IPs delimitada por comas
- HTTP_X_FORWARDED
- HTTP_X_CLUSTER_CLIENT_IP
- HTTP_FORWARDED_FOR
- HTTP_FORWARDED
¿Puedo usar cualquiera de estos encabezados para el control de acceso, para bloquear o permitir el acceso a mi sitio?
p.ej. Bloquee de forma escalonada: HTTP_Header_X primero, luego, ¿IP del cliente?¿Cuáles son los usos conocidos de estos encabezados? p.ej. ISPs, software proxy como Squid, etc.
Entonces consideré que algunos servidores web pueden alterar dinámicamente su respuesta en función de la presencia (o falta de) estos encabezados. Supongamos que un servidor prohibió a los usuarios por dirección IP. ¿Debería prohibir a un usuario basándose en la IP recibida o en la especificada en este encabezado? Luego consideré la posibilidad de falsificar este encabezado como una forma de evitar una prohibición de IP que el servidor pueda haber impuesto.
- ¿Qué preocupaciones de seguridad pueden existir alrededor de estos encabezados, cuál es la forma adecuada de solucionarlo?
p.ej. Incluir que sea relevante para el registro, etc.