2001:16B8:B702:BF8A:0:0:0:16: inkonsistent, proxy3 Angabe passt nicht zum angegebenen Beispiel, nur proxy2 macht Sinn

2024-08-01T08:50:13Z

inkonsistent, proxy3 Angabe passt nicht zum angegebenen Beispiel, nur proxy2 macht Sinn

Neue Seite

Der '''X-Forwarded-For''' (XFF) ist ein [[De-facto-Standard]]-[[Liste der HTTP-Headerfelder|HTTP-Header]]-Eintrag im Internet. Der Header dient dazu, die [[IP-Adresse]] des Clients zu übermitteln, wenn dieser durch einen [[Proxy (Rechnernetz)|Proxy]] oder eine andere Netzwerkkomponente, die die Quell-IP-Adresse verändert, auf einen [[Webserver]] zugreift.

Ein Anwendungsfall für die Übermittlung dieses Headers sind [[Internet Service Provider]] (ISP), die die Kunden entweder ermutigen oder zwingen (im Fall von [[AOL]] bei Verwendung der hauseigenen Software oder bei einigen [[Mobilfunknetzbetreiber]]n zur Kompression), einen Proxy-Server des ISPs zu nutzen. In einigen Fällen sind diese Proxys ''[[Transparenz (Computersystem)|transparent]]'' und arbeiten lediglich als [[Cache]], da der [[Datenverkehr|Traffic]] dann nicht mehr das Netz des Providers verlassen muss (und damit den ISP weniger kostet).

Bei nicht-transparenten Proxys hingegen ist dem Gegenüber nur die IP-Adresse des Proxys bekannt, er hat keinen Einblick in die reale Adresse des Clients. Dies macht den Proxy zu einem [[Anonymisierungsdienst]]. XFF wurde geschaffen, um dem Server die Möglichkeit zu geben, Clients eindeutig zu identifizieren.
Ohne den XFF-Header würde ein Webserver nur die IP-Adresse des Proxys sehen, aber nicht die echte IP-Adresse des Clients.

== Format ==
X-Forwarded-For: ''client1'', ''proxy1'', ''proxy2''

''client1'' ist die ursprüngliche IP-Adresse des Clients. ''proxy1'' und ''proxy2'' sind die IP-Adressen der dazwischengeschalteten Proxys. Die erste IP-Adresse ist immer die des Originalclients und die letzte die des Proxys, der den Request vor dem Proxy durchgeleitet hat, dessen IP-Adresse der Server sieht (''proxy2'').

Beispiele:
X-Forwarded-For: 203.0.113.195, 70.41.3.18, 150.172.238.178
X-Forwarded-For: 203.0.113.195
X-Forwarded-For: 2001:db8:85a3:8d3:1319:8a2e:370:7348

Der XFF-Header ist dadurch für Fälschungen anfällig. Abhilfe schafft hier eine Liste von bekannten, vertrauenswürdigen Proxys – wenn alle beteiligten Proxys auf einer solchen Liste verzeichnet sind, so ist anzunehmen, dass die übergebene Client-IP-Adresse korrekt ist.

== Software ==
XFF-Senden wird von vielen Proxys unterstützt, u. a. [[Squid]],<ref>[http://wiki.squid-cache.org/SquidFaq/ConfiguringSquid#What_is_.22HTTP_X_FORWARDED_FOR.22.3F__Why_does_squid_provide_it_to_WWW_servers,_and_how_can_I_stop_it.3F SquidFaq/ConfiguringSquid – Squid Web Proxy Wiki]</ref> [[Apache HTTP Server|Apache]] mod_proxy,<ref>[http://httpd.apache.org/docs/trunk/mod/mod_proxy.html mod_proxy – Apache HTTP Server]</ref> [[Pound (Software)|Pound]],<ref>[http://www.apsis.ch/pound/ Pound proxy], unter ''Request Logging''</ref> [[Varnish|Varnish Cache]],<ref> [https://www.varnish-software.com/wiki/content/tutorials/varnish/sample_vclTemplate.html#passing-real-ip-to-backend Varnish Tutorial]</ref> [[IronPort]] Web Security Appliance,<ref>[http://www.ironport.com/products/web_security_appliances.html IronPort Web Security Appliances]</ref> Citrix NetScaler, F5 Big-IP, Blue Coat ProxySG, [[Cisco Systems|Cisco]] Cache Engine, Finjan’s Vital Security, [[NetApp]] NetCache, USP Secure Entry Server, [[jetNEXUS]], Crescendo Networks’ Maestro, [[Forefront Threat Management Gateway|Microsoft ISA Server]] 2004/2006 mit der Erweiterung ''Winfrasoft X-Forwarded-For for ISA Server'' und [[Webwasher|McAfee Web Gateway]].

== Siehe auch ==
* [[Anonymität im Internet]]

== Einzelnachweise ==
<references />

[[Kategorie:Anonymität]]
[[Kategorie:HTTP-Header-Feld]]

X-Forwarded-For - Versionsgeschichte

2001:16B8:B702:BF8A:0:0:0:16: inkonsistent, proxy3 Angabe passt nicht zum angegebenen Beispiel, nur proxy2 macht Sinn