symfony2 detrás de Amazon ELB: ¿siempre confía en los datos de proxy?
Estoy ejecutando una aplicación web Symfony2 en AWS, y estoy usando un Elastic Load Balancer.
En un método de controlador, debo hacer lo siguiente para obtener la IP de un usuario que solicita una página web:
$request->trustProxyData();
$clientIp = $request->getClientIp(True);
¿Esto presenta algún riesgo de seguridad? No estoy usando la IP del cliente para la escalada de privilegios, simplemente la estoy registrando.
¿Hay alguna manera de forzartrustProxyData()
siempre, o de otra manera reconfigurar$request->getClientIp()
aDWIM? Mi aplicación siempre estará detrás de un equilibrador de carga (excepto mientras realizo el desarrollo en mi escritorio).
Relacionado:http://fabien.potencier.org/article/51/create-your-own-framework-on-top-of-the-symfony2-components-part-2 (pero no dice si hay alguna configuración global, así que no tengo que llamartrustProxyData()
en todos lados).