我正在编写一个位于nginx服务器后面的express应用程序,我阅读了express的文档,它提到了“信任代理”设置,它说的只是
trust proxy启用反向代理支持,默认情况下禁用
我在这里读了一篇小文章,解释了使用nginx在节点中的安全会话。
http://blog.nikmartin.com/2013/07/secure-sessions-in-nodejs-with-nginx.html
所以我很好奇。设置“trust proxy”为true是否只有在使用HTTPS时才有意义?目前我的应用程序只是客户端和nginx之间的HTTP。如果我现在设置为true,是否有任何副作用/影响需要注意?现在设置为true是否有意义?
4条答案
按热度按时间bsxbgnwa1#
express behind the proxies guide中对此进行了详细说明
通过app.enable('trust proxy')启用“信任代理”设置,Express将知道它位于代理之后,并且X-Forwarded-* 头字段可能是可信的,否则很容易被欺骗。
启用此设置有几个微妙的影响。第一个影响是反向代理可以设置X-Forwarded-Proto,以告知应用程序它是https或简单的http。此值由req. protocol反映。
第二个更改是req.ip和req.ips值将使用X-Forwarded-For的地址列表填充。
2ledvvac2#
解释信任代理使用的注解代码
jljoyd4f3#
我在搜索trust proxy对express-session的真正作用时,最终来到了这里。没有一个答案对我有帮助。
默认值-false(禁用)
IMO最好的文档在应用程序设置中
指示应用位于前端代理的后面,并使用X-Forwarded-* 标头确定客户端的连接和IP地址。注意:X-Forwarded-* 报头很容易被欺骗,并且检测到的IP地址不可靠。
启用后,Express将尝试确定通过前端代理或一系列代理连接的客户端的IP地址。
req.ips
属性将包含客户端通过其连接的IP地址数组。若要启用该属性,请使用信任代理选项表中描述的值。trust proxy
设置是使用proxy-addr包实现的。有关详细信息,请参阅其文档。注:子应用程序将继承此设置的值,即使它具有默认值。
p. s-如果您试图了解这对express-session有何帮助,则需要启用信任代理才能获得req. secure的正确值
ctehm74n4#
由于问题中提到了
nginx
,请注意,在nginx配置文件(例如/etc/nginx/sites-enabled/default)中,您还需要显式设置头变量,以便传递它来表示:这是所需的最低要求,然而,通过使用持久连接到上游服务器的区域,下面这样的操作会更快:
然后,您可以通过打开“trust proxy”在Express服务器的请求对象中启用用户的(假定的)IP地址: