現象

あるサービスの仕組みで処理結果を通知してくるために、自サーバーのapiをたたきにくるときがある。この際に、サーバー側では本当にそのサービスからのリクエストかどうかをみるために、あらかじめIPアドレスを設定しておいてvalidateしてるが、あるリリースのバージョンからvalidateに失敗するようになった。 ログを見てみると、該当サービスじゃなくてELBからのIPアドレスになっていた。

原因

• play frameworkのverが勝手に上がってしまっていた。
• addSbtPluginで指定しているplayは2.4.3
• kamon-playが依存しているのがplay2.4.6だった
• play2.4.3 -> play2.4.4 でx-forwarded-forヘッダの取得まわりで変更が入っていた
  • https://github.com/playframework/playframework/commit/48f6772c857a851617c7170a74b8fa630ca4994c
• x-forwarded-forは簡単にspoofingできてしまうので、信頼できるproxyからだった場合にのみremoteAddressにx-forwarded-forヘッダを利用するようになった
• サーバーではplay.http.forwarded.proxiesは設定していなかったため、remoteAddressがx-forwarded-forの値ではなく、単にhostの値(ELB)が使われるようになった。

対応

• play.http.forwarded.proxies = [ "0.0.0.0/0", "::/0" ]を追加
• Spec追加する
• ただし、playのversionが上がるのは厳しいので、play2.4.6が入らないようにしたい