cddqssc

> 通过 Header 传递真实 IP 是 HTTP 下的标准解决方案，七层负载一般都支持，咋会不优雅。 > > proxy protocol 只在纯四层负载的情况下有意义，而且也不是很常用的方案（大多直接从网络层转发，不需要处理 IP。网络环境不支持的话也直接上七层负载），处理 SMTP、POP3、IMAP 这些协议的时候可能会用到，对代理 HTTP 的 WAF 来说使用场景似乎比较有限呀。 举个例子： 用户通过HTTPS访问服务器，服务器把HTTPS流量通过端口转发（或者负载均衡器）给WAF，如下图  这个时候，Header里面没有真实IP，WAF获取不到真实IP。想要在header里面添加XFF，就要在转发那一层解密后添加XFF后再传递给WAF，这样全程就不是HTTPS了，就造成了不安全因素，而且麻烦。 我希望到waf之前的流量全程都是HTTPS，然后WAF来解密处理，而且waf仅仅是添加一个proxy protocol就能获取真实IP，既安全又方便。 这种场景可能并不常见，但是也不能说很稀有吧，端口转发/负载均衡应该也是比较常见的吧？waf文档里面是支持这样的接入方式的，并且添加这个功能比较容易。

> 在header里面添加XFF，再以https转给waf，这中间还是可以是加密的 你是认真的吗？

> > > 在header里面添加XFF，再以https转给waf，这中间还是可以是加密的 > > > > > > 你是认真的吗？ > > 一般正式网站确实是这样部的，最外层的设备放证书，源 IP 信息用 XFF 或 X-Real-IP 来传递。中间需要全程加密的话，就都走 HTTPS。例如证书放 CDN 上，CDN 给源站生成一个自己信任的自签证书，然后用 https 连源站，这样全程都是 HTTPS。 > > 对于负载均衡来说，web...

家人们，点点赞，👍高的优先解决

> “雷池 waf 支持静态站” 是啥意思，你是想直接把雷池当个 http server 用？ 感谢答复，是的，例如我有一个index.html文件，可以通过雷池直接供外部访问

> “雷池 waf 支持静态站” 是啥意思，你是想直接把雷池当个 http server 用？ 我的考虑是有很多用户应该还是把waf和服务放在一个server上面（虽然官方不建议），但是有很多使用情况是这样：server就只有一个静态站点(一些html)。然后担心被CC攻击，然后还想看一些访问IP来自哪里，雷池waf刚好能够满足这个需求。但是waf目前只能反代需要后端端口，为了满足这一点不得不再添加一个http server例如nginx 虽然目前可能可以修改waf下面的nginx conf文件来实现这一点，但感觉不太优雅？

> 我理解是两个问题： > > 1. 这些静态资源文件的访问是否要做限频等防护？如果是的话，就需要另一台服务器作为 HTTP server 了 > 2. 如果不用防护，就是单纯用 WAF 里面的 NGINX 作为 HTTP server，虽然也可以实现，但是感觉需求场景不大。这种不需要防护的网站还上 WAF 干啥 > > 所以综合来说，我理解是倾向于不支持这种配置。纯静态资源的话，开启一个 HTTP server 只需要 python3 -m http.server 8888...

system_info: n_threads = 4 / 20 | AVX = 1 | AVX2 = 1 | AVX512 = 0 | FMA = 1 | NEON = 0 | ARM_FMA = 0...

This feature is necessary because in reality, it's very easy for people to obtain the project ID and app package name. Anyone can create new users in my project, and...