如何在 Cloudflare 环境下准确检测 Tor 用户（PHP 实现）

2026-01-01 00:00:00 作者：心靈之曲

本文详解为何在 cloudflare 代理后 tor 检测失效，并提供安全、可靠的 php 方案：通过正确获取真实客户端 ip（优先使用 `cf-connecting-ip`），再调用 tordnsel 进行权威 dns 黑名单验证，确保 tor 会话识别稳定有效。

在使用 Cloudflare 作为反向代理的 PHP 网站中，直接依赖 $_SERVER['REMOTE_ADDR'] 判断 Tor 用户往往失败——原因在于：Cloudflare 会将原始客户端 IP 替换为自身边缘节点 IP，而 mod_remoteip 若未针对 Cloudflare 的可信头（如 CF-Connecting-IP）正确配置，$_SERVER['REMOTE_ADDR'] 将始终返回 Cloudflare 的任一节点 IP（非真实出口节点），导致 TorDNSEL 查询的目标 IP 错误，自然无法命中 Tor 出口节点黑名单。

✅ 正确做法是优先信任 Cloudflare 提供的 HTTP_CF_CONNECTING_IP 请求头（该头由 Cloudflare 自动注入，且仅在其可信链路中存在，不可被终端用户伪造），并将其作为 Tor 检测的真实源 IP：

getMessage());
}

⚠️ 关键注意事项：

绝不直接信任 HTTP_X_FORWARDED_FOR 等易伪造头：Cloudflare 已明确建议仅使用 CF-Connecting-IP，它经过签名验证，安全性远高于通用代理头；
禁用 mod_remoteip 或重新配置：若保留 mod_remoteip，需在 Apache 配置中显式添加 RemoteIPTrustedProxy 指令，将所有 Cloudflare IP 段加入可信列表，否则仍可能覆盖正确 IP；
TorDNSEL::IpPort() 已过时：当前 dapphp/torutils 推荐使用 TorDNSEL::isTor($ip)，它自动执行 ip-port 查询（标准 Tor DNSBL 格式：.dnsel.torproject.org），无需手动传入端口或服务器地址；
DNS 解析稳定性：TorDNSEL 依赖外部 DNS 查询，建议在生产环境添加超时与重试逻辑（可封装为带缓存的工具函数），避免因 DNS 延迟阻塞页面响应。

? 总结：Tor 检测失效的根本症结不在 TorDNSEL 库本身，而在于 IP 源的准确性。只要在 Cloudflare 环境中严格采用 HTTP_CF_CONNECTING_IP 获取真实出口 IP，并配合 TorDNSEL::isTor() 进行标准化查询，即可实现高精度、低误报的 Tor 用户识别——这是兼顾安全性、兼容性与可维护性的最佳实践。