前端请求被IP白名单拦截怎么办?
我们后端接口加了IP白名单,只允许服务器IP访问。但我本地开发时用axios发请求,总被拒绝,提示“IP not allowed”。这不就没办法联调了吗?
我试过在请求头加X-Forwarded-For,但好像没用。是不是前端根本没法绕过这个限制?那正常开发流程该怎么处理?
<script>
axios.get('https://api.example.com/data', {
headers: {
'X-Forwarded-For': '123.123.123.123' // 后端白名单里的IP
}
})
</script>- 1
回答
45浏览
IP白名单配置后请求仍被拦截,是什么原因?
最近在给支付接口配置IP白名单时遇到问题,明明把测试服务器IP加进去了,但前端发起请求还是被返回403。检查过防火墙规则没问题,白名单代码也按文档写了,但就是通不过验证。测试用的是本地开发环境,可能跟...
- 2
回答
40浏览
Nginx配置geo封禁恶意IP时正常请求被拦截怎么办?
最近在配置Nginx服务器时,想通过geo模块封禁恶意扫描IP,但设置后正常访问也出现403了。我按网上的教程写了geo和limit_req配置,但测试时自己的IP被莫名拦截,日志显示匹配到了某个规则...
- 2
回答
37浏览
前端用Argon2哈希密码后,跨域请求被拦截怎么办?
我在前端用JavaScript调用Argon2对用户密码进行哈希处理,然后通过fetch发送到后端,但一直报错“Blocked by CORS policy: No 'Access-Control-A...
- 1
回答
37浏览
监控数据传输时gzip压缩失效怎么办?
我在用fetch发送POST请求压缩监控数据时,明明设置了gzip压缩,但后端收到的还是明文数据。我用compressor-gzip库压缩了JSON字符串,代码也设置了Content-Encoding...
- 1
回答
3浏览
iPhone X底部安全区域适配不生效怎么办?
我在做移动端页面时,发现iPhone X及以后的机型底部被Home Indicator遮挡了内容。明明加了viewport-fit=cover,也用了env(safe-area-inset-botto...
- 1
回答
323浏览
ECharts 地图下钻后 tooltip 不显示数据怎么办?
我用 ECharts 做了个中国地图,点击省份能下钻到市级,但下钻之后 tooltip 完全不显示了,hover 上去没反应。 之前省级的 tooltip 是正常的,下钻时我重新 setOption ...
- 1
回答
9浏览
Vue里用javascript:协议跳转会触发XSS警告怎么办?
我在做一个动态链接渲染的功能,用户可以输入URL,但有些老数据里带的是 javascript:alert(1) 这种。我直接绑定到 <a :href="userUrl"> 上,结果控制台报...
- 1
回答
21浏览
ECharts 折线图 tooltip 不显示数值怎么办?
我用 ECharts 画了个折线图,但鼠标悬停时 tooltip 完全不显示数值,连默认的提示框都没出来,这是啥情况? 配置里明明加了 tooltip: { show: true },也试过把 tri...
- 1
回答
12浏览
iView的Tooltip在动态内容更新后不显示新文字怎么办?
我在用iView的Tooltip组件时,发现当绑定的提示文字是动态数据(比如从接口返回的)时,Tooltip第一次能正常显示,但数据更新后,鼠标移上去还是显示旧的内容。明明data里的值已经变了,页面...
- 1
回答
26浏览
EmojiPicker组件点击后不显示表情面板怎么办?
我在用一个第三方的EmojiPicker组件,引入后点击按钮没反应,面板根本弹不出来,控制台也没报错。 我试过检查z-index和父容器的overflow,也确认了事件绑定没问题,但就是不显示。相关代...
我一般直接让后端在开发环境把白名单关掉,或者加个环境变量配置允许所有IP,本地联调搞什么白名单纯属给自己找事。正经做法是测试/生产环境才开白名单,开发环境放宽。
实在不行就用vite或webpack配个proxy代理,让本地服务器转发请求,这样后端看到的是localhost发起的请求,不过这招前提是你本地能连上后端服务。
X-Forwarded-For 这个头是给代理服务器用的,后端取客户端IP是拿的TCP连接层的真实IP,不是你HTTP头里随便写的那个。要是这能绕过,那白名单还有啥意义,随便伪造一下不就完了。
正经的解决方案有这么几个,按推荐程度排一下:
第一,开发环境和生产环境分开。后端应该区分环境,开发环境直接关掉IP白名单校验,或者改成只校验token之类的。这是最合理的做法,跟后端同事说一声,让他们加个环境变量控制。
第二,把你的开发机IP加到白名单里。如果你公司网络有固定出口IP,让运维加进去就行。如果是动态IP就比较麻烦,得频繁更新白名单。
第三,走本地代理。在本地起一个nginx或者用node写个简单的代理服务,部署在白名单允许的服务器上,请求先打到代理,代理再转发。不过这属于曲线救国,增加链路复杂度。
第四,本地起一套后端服务。直接连本地后端联调,不走线上接口,彻底避开这个问题。
还有个野路子,如果你能连上服务器的内网,用ssh隧道转发一下也行:
然后请求发到 localhost:8080 就行。
总之别在前端折腾请求头了,那是HTTP层的东西,IP白名单校验在网络层就拦截了,根本轮不到看你的请求头。