X-Forwarded-For ist ein HTTP–Header, der hinzugefügt wird, um die IP-Adresse des Clients an den Server weiterzuleiten. Der Header enthält normalerweise eine Liste von IP-Adressen, die die ursprünglichen Client-IP-Adressen enthalten, getrennt durch Kommata. Durch das Lesen des X-Forwarded-For-Headers kann der Server die tatsächliche IP-Adresse des Clients bestimmen, selbst wenn die Anfrage über mehrere Netzwerkgeräte geroutet wurde. Dies ist besonders nützlich, wenn der Server Informationen über den Client benötigt, um beispielsweise benutzerdefinierte Inhalte bereitzustellen oder IP-basierte Zugriffssteuerungen durchzuführen. Es ist jedoch wichtig zu beachten, dass der X-Forwarded-For-Header von Clients manipuliert werden kann, und daher nicht immer vertrauenswürdig ist. Aus Sicherheitsgründen sollte der Server den X-Forwarded-For-Header nur verwenden, wenn er aus einer vertrauenswürdigen Quelle stammt.
