ietm64/LoreMind
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

Fix rate limit derriere Cloudflare + CORS sur POST demo

Browse Source
This commit is contained in:
IETM_FIXE\ietm6
2026-04-24 08:55:40 +02:00
parent f95d69c915
commit 2764228abf
1 changed files with 11 additions and 4 deletions
Download Patch File Download Diff File Expand all files Collapse all files

15
demo/orchestrator/ratelimit.go
View File

@@ -56,11 +56,18 @@ func (rl *rateLimiter) cleanupLoop() {
} }
} }
// clientIP extrait l'IP reelle en prenant la derniere entree de X-Forwarded-For. // clientIP extrait l'IP reelle du visiteur en tenant compte du setup reverse-proxy.
// Justification : Traefik APPEND l'IP du peer au header existant, donc la // Ordre de priorite :
// derniere valeur est celle que Traefik a observe directement (le vrai client). // 1. CF-Connecting-IP : defini par Cloudflare sur la base de SA propre vue du
// Prendre la premiere serait une faille : un attaquant peut preremplir le header. // peer TCP, non-forgeable par le client, ecrase toute valeur entrante.
// 2. X-Forwarded-For, derniere entree : quand seul Traefik est en front (pas
// de Cloudflare), Traefik append l'IP qu'il observe. Prendre la premiere
// serait une faille (header forgeable).
// 3. RemoteAddr : fallback si aucun header de proxy n'est present.
func clientIP(r *http.Request) string { func clientIP(r *http.Request) string {
if cfIP := r.Header.Get("CF-Connecting-IP"); cfIP != "" {
return strings.TrimSpace(cfIP)
}
if xff := r.Header.Get("X-Forwarded-For"); xff != "" { if xff := r.Header.Get("X-Forwarded-For"); xff != "" {
parts := strings.Split(xff, ",") parts := strings.Split(xff, ",")
return strings.TrimSpace(parts[len(parts)-1]) return strings.TrimSpace(parts[len(parts)-1])