Я пытаюсь внедрить механизм защиты от спама на моем сервере. Мне нужно знать, может ли req.ip быть подделан удаленным хакером в Express.js. Может ли кто-нибудь подтвердить это со мной?
Да, это может быть подделкой. request.ip получение его значения из самой левой записи заголовка X-Forwarded-For, которую можно подделать.
request.ip
Экспресс документы: https://expressjs.com/en/api.html#req.ip