- 安全方式下只能通过 Remote Address 获取 IP,不能相信任何请求头,因Remote Address获取方式是通过TCP三次握手确认的,如果伪造IP则握手失败;
- 使用 Nginx 进行反向代理的 Web 应用,在不配置代理头X-Forwarded-For 或 X-Real-IP的情况下,要用 X-Forwarded-For 最后一节 或 X-Real-IP 来获取 IP。(因代理情况下 Remote Address 得到的是 Nginx 所在服务器的内网 IP);
- 在与安全无关的场景,例如通过 IP 显示所在地天气,可以从 X-Forwarded-For 靠前的位置获取 IP,但是需要校验 IP 格式合法性;
