问题来源

    为了解决CSRF跨站请求伪造，防止接口被恶意攻击

解决办法 

      验证HTTP请求的Referer是不是本服务器链接过来的

客户端或者浏览器在发送请求的时候 都会在请求头存在一个来源指向

Referer 就是当前服务的来源指向

如果是地址栏是 这样的 http://127.168.1.2:8000/index.thml

那么Referer 服务来源也是 http://127.168.1.2XXXXXXXXXX

发现被黑客篡改 关于篡改原因请看这篇文章 http请求头中Referer的含义和作用  

本文重点不是讲这个原理

我这边写了一个对 http请求头中referer中的判断

这段代码就是如果发现有伪造的请求过来 那么就直接返回false网关就不会继续转发服务

这个是写在网关里面的一个过滤器的 奇怪就是在本地  我的serverName 获取 与 referer 中所包含的地址是一样的。

但是放到测试环境就一直返回false

然后去服务器一看

日志显示 ---- 服务名：127.0.0.1,来源信息：https://101.168.202.1:8080/XXX

request.getServerName()  获取出来的是 127.0.0.1 但是请求头中的来源却是真实的IP

这样肯定不包含在内 所以就一直会是false

分析了好长一段时间 才发现 原来是测试环境有nginx 而本地是没有的

nginx反向代理的都是127.0.0.1  所以request.getServerName() 获取就是127.0.0.1  要想让request.getServerName()获取真是的IP 那就需要在nginx配置文件加上 

proxy_set_header Host $host; 

这个的意思是 这一行的作用是把原http请求的Header中的host字段也放到转发的请求里。

我加上之后重新启动nginx之后  

日志显示 ---- 服务名：101.168.202.1,来源信息：https://101.168.202.1:8080/XXX

这样就对了

关于proxy_set_header Host $host;  的详细用法 这里不做描述 百度上有很多。