Вирішення: setTrustedProxies()

Щоб виправити це, вам потрібно сказати Symfony, яким IP-адресам зворотного проксі можна довіряти, і які заголовки використовує ваш проксі для відправки інформації:

1
2
3
4
5
6
7
8
9

# config/packages/framework.yaml
framework:
    # ...
    # IP-адреса (або діапазон) вашого проксі
    trusted_proxies: '192.0.0.1,10.0.0.0/8'
    # довіряти *всім* заголовкам "X-Forwarded-*"
    trusted_headers: ['x-forwarded-for', 'x-forwarded-host', 'x-forwarded-proto', 'x-forwarded-port', 'x-forwarded-prefix']
    # або, якщо ваш проксі замість цього використовує заголовок "Forwarded"
    trusted_headers: ['forwarded']

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25

<!-- config/packages/framework.xml -->
<?xml version="1.0" encoding="UTF-8" ?>
<container xmlns="http://symfony.com/schema/dic/services"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xmlns:framework="http://symfony.com/schema/dic/symfony"
    xsi:schemaLocation="http://symfony.com/schema/dic/services
        https://symfony.com/schema/dic/services/services-1.0.xsd
        http://symfony.com/schema/dic/symfony
        https://symfony.com/schema/dic/symfony/symfony-1.0.xsd">

    <framework:config>
        <!-- IP-адреса (або діапазон) вашого проксі -->
        <framework:trusted-proxies>192.0.0.1,10.0.0.0/8</framework:trusted-proxies>

        <!-- довіряти *всім* заголовкам "X-Forwarded-*" -->
        <framework:trusted-header>x-forwarded-for</framework:trusted-header>
        <framework:trusted-header>x-forwarded-host</framework:trusted-header>
        <framework:trusted-header>x-forwarded-proto</framework:trusted-header>
        <framework:trusted-header>x-forwarded-port</framework:trusted-header>
        <framework:trusted-header>x-forwarded-prefix</framework:trusted-header>

        <!-- або, якщо ваш проксі замість цього використовує заголовок "Forwarded" -->
        <framework:trusted-header>forwarded</framework:trusted-header>
    </framework:config>
</container>

1
2
3
4
5
6
7
8
9
10
11
12
13

// config/packages/framework.php
use Symfony\Config\FrameworkConfig;

return static function (FrameworkConfig $framework) {
    $framework
        // IP-адреса (або діапазон) вашого проксі
        ->trustedProxies('192.0.0.1,10.0.0.0/8')
        // довіряти *всім* заголовкам "X-Forwarded-*" (префікс ! означає не довіряти цим заголовкам)
        ->trustedHeaders(['x-forwarded-for', 'x-forwarded-host', 'x-forwarded-proto', 'x-forwarded-port', 'x-forwarded-prefix'])
        // або, якщо ваш проксі замість цього використовує заголовок "Forwarded"
        ->trustedHeaders(['forwarded'])
    ;
};

Обʼєкт Запит має декілька констант Request::HEADER_*, які контролюють, яким заголовкам вашого зворотного проксі можна довіряти. Аргумент є полем біту, так що ви також можете передати власне значення (наприклад, 0b00110).

Але що, якщо IP мого зворотнго проксі постійно змінюється!

Деякі зворотні проксі (на кшталт Еластичного розподілення навантаження AWS) не мають статичної IP-адреси або навіть діапазону, який ви можете охопити за допомогою CIDS примітки. В такому випадку вам потрібно буде - дуже обережно - довіряти всім проксі.

1. Сконфігуруйте ваш(і) веб-сервер(и), щоб вони не відповідали на трафік будь-яких клієнтів, окрім ваших розподілювачів навантаження. Для AWS це можна зробити за допомогою груп безпеки.

2. Коли ви гарантували, що трафік буде виходити лише від довірених зворотних проксі, сконфігуруйте Symfony завжди довіряти вхідному запиту:

   1
   2
   3
   4
   5
   6

   # config/packages/framework.yaml
   framework:
       # ...
       # довіряти *всім* запитам (рядок 'REMOTE_ADDR' замінюється під час
       # прогону на $_SERVER['REMOTE_ADDR'])
       trusted_proxies: '127.0.0.1,REMOTE_ADDR'

Ось і все! Критично важливо, щоб ви запобігли трафіку з усіх недовірених джерел. Якщо ви доозволите сторонній трафік, він може "підробити" справжні IP-адреси та іншу інформацію.

1
2

# .env
TRUSTED_PROXIES=127.0.0.1,REMOTE_ADDR

1
2
3
4

# config/packages/framework.yaml
framework:
    # ...
    trusted_proxies: '%env(TRUSTED_PROXIES)%'

Якщо ви також використовуєте зворотний проксі над вашим балансувальником навантаження (наприклад, CloudFront), виклику $request->server->get('REMOTE_ADDR') буде недостатньо, так як він буде довіряти лише вузллу, що знаходиться прямо над вашим додатком (в даному випадку - вашому балансувальнику наванатаження). Вам також потрібно додати IP-адреси або діапазон будь-якого додаткового проксі (наприклад, IP-діапазони CloudFront) до масиву довірених проксі.

Користувацькі заголовки при використанні зворотного проксі

Деякі зворотні проксі (на кшталт CloudFront з CloudFront-Forwarded-Proto) можуть змушувати вас використовувати користувацький заголовок. Наприклад, у вас є Custom-Forwarded-Proto замість X-Forwarded-Proto.

В такому випадку вам знадобиться встановити заголовок X-Forwarded-Proto зі значенням Custom-Forwarded-Proto достатньо рано у вашому додатку, тобто, перед обробкою запиту:

1
2
3
4
5
6

// public/index.php

// ...
$_SERVER['HTTP_X_FORWARDED_PROTO'] = $_SERVER['HTTP_CUSTOM_FORWARDED_PROTO'];
// ...
$response = $kernel->handle($request);