symfony2 atrás do Amazon ELB: sempre confiar nos dados do proxy?
Estou executando um aplicativo da web Symfony2 na AWS e estou usando um Elastic Load Balancer.
Em um método controlador, preciso fazer o seguinte para obter o IP de um usuário solicitando uma página da Web:
$request->trustProxyData();
$clientIp = $request->getClientIp(True);
Isso apresenta algum risco de segurança? Eu não estou usando o IP do cliente para escalonamento de privilégios, estou apenas registrando.
Existe alguma maneira de forçartrustProxyData()
sempre, ou então reconfigure$request->getClientIp()
paraDWIM? Meu aplicativo sempre estará atrás de um balanceador de carga (exceto enquanto eu estiver desenvolvendo na minha área de trabalho).
Relacionado:http://fabien.potencier.org/article/51/create-your-own-framework-on-top-of-the-symfony2-components-part-2 (mas não diz se há alguma configuração global, então eu não preciso ligartrustProxyData()
em toda parte).