如何在 ASP.NET Framework 中正确获取用户真实 IP 地址

在 Web 应用中，获取访问者的真实 IP 地址对日志记录、访问控制、地域限制以及安全审计等功能都非常重要。对于使用 ASP.NET Framework 的网站而言，直接获取 IP 地址并不总是真实的 — 当请求经过代理服务器、负载均衡器、CDN 或反向代理时，常规方式拿到的可能只是中间链路的 IP，而不是最终用户的 IP。下面介绍一种通用且相对可靠的方法，以及一些需要注意的问题。

首先，在最简单、没有经过代理的情况下，可以使用：

string ip = HttpContext.Current.Request.UserHostAddress;

或

string ip = HttpContext.Current.Request.ServerVariables["REMOTE_ADDR"];

这种方式适用于客户端直接连接到你的 Web 服务器时 — 在这种情形下，它确实返回客户端的 IP。

然而，一旦请求经过代理服务器或负载均衡，UserHostAddress／REMOTE_ADDR 很可能仅是代理服务器的 IP，而不是真实访客的 IP。为解决这个问题，应优先尝试读取请求头中的 X-Forwarded-For（或某些代理／WAF／CDN 会使用 X-Real-IP）字段。典型的做法是：

string ip = HttpContext.Current.Request.ServerVariables["HTTP_X_FORWARDED_FOR"];
if (string.IsNullOrEmpty(ip))
{
    ip = HttpContext.Current.Request.ServerVariables["REMOTE_ADDR"];
}

如果 X-Forwarded-For 存在，它通常包含一个由逗号分隔的 IP 列表，其中第一个 IP 就是最初发起请求的客户端 IP。你可以进一步把这个字段拆分并取第一个 IP 作为用户真实 IP。

不过需要注意，X-Forwarded-For 并非总是可靠：

• 并不是所有代理／负载均衡／CDN 都会在请求头加入 X-Forwarded-For。
• 即使加了，也可能被伪造 — 因为 HTTP 请求头可以由客户端或中间服务任意设置。
• 如果你的网站部署在多个代理链之后，可能会有多个 IP 出现在头中，这时要谨慎挑选最合理的一个（通常是第一个）。

因此，推荐将“尝试 X-Forwarded-For → fallback 到 REMOTE_ADDR”的逻辑封装起来，以便在不同部署环境下都能合理工作。

此外，如果你使用针对代理／CDN的架构（例如反向代理、负载均衡、WAF 等），还需确保：

• 你的代理／CDN／负载均衡配置正确，将客户端真实 IP 写入 X-Forwarded-For 或 X-Real-IP。
• 你的应用端按照上述逻辑优先读取这些转发头，而不是只依赖 REMOTE_ADDR。

这样，即使在复杂网络结构下，也能最大程度获取到用户真实 IP。

获取真实 IP 的通用流程是：优先检查 HTTP_X_FORWARDED_FOR（或类似转发头），如果没有则回退到 REMOTE_ADDR 或 UserHostAddress。同时需配合代理／CDN／负载均衡的正确配置。这样既能适应无代理场景，也能兼容通过代理访问的情况，提高程序对用户 IP 的识别准确性。

不过也应该认识到，通过 HTTP 头获取 IP 存在一定风险 —— 转发头可能被伪造，因此不适合单靠其做高安全性决策。