$.ajax使用总结(二)：伪造IP地址

在JAVA与PHP的程序中，为了保证IP的正确性，经常采用如下的方法获取浏览器端的IP地址，代码如下：

String ip = request.getHeader("x-forwarded-for");if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {    ip = request.getHeader("Proxy-Client-IP");}if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {    ip = request.getHeader("WL-Proxy-Client-IP");}if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {    ip = request.getRemoteAddr();}return ip;

恰恰因为这所谓的安全性，才让我们找到了轻易替换IP地址的方法，我们只需要伪造这样的头部“x-forwarded-for”、“Proxy-Client-IP”、“WL-Proxy-Client-IP”，即可让服务器认为我们的地址是伪造的地址，从而绕过服务器端IP地址范围、单一IP地址不可多次访问等限制措施。

$.ajax的伪造IP地址的方法如下：

$.ajax('/login', {    headers : {        'x-forwarded-for': ip,        //  'Proxy-Client-IP': ip,        'WL-Proxy-Client-IP': ip    },    method:'POST',    contentType:'application/json;charset=utf-8',    //  以Payload方式提交    data : JSON.stringify(data),    success : function(datas) {        //  输出结果        console.log(datas)    }})

经测试，以上方法能骗过网上很多的IP地址测试，比如拉选票等，产生随地IP的方法如下（太简单粗暴了，建议改进）：

//  这产生的IP可能会落在内网function createIp() {    var a = Math.round(Math.random() * 250) + 1,        b = Math.round(Math.random() * 250) + 1,    c = Math.round(Math.random() * 240) + 1,    d = Math.round(Math.random() * 240) + 1;    return [a, b, c, d].join('.');}

总结

不断改进IP地址的获取方法，比如从流量中解析IP地址（当然也可以被伪造），才能避免被浏览器端的请求欺骗。