🔒 Fix Insecure Randomness in IP Fallback Check

[is0692vs]

🎯 What:
Fixed a security vulnerability in getClientIp where the right-most IP was being used from x-forwarded-for, which is susceptible to client spoofing.

⚠️ Risk:
If the right-most IP is extracted, attackers can easily inject fake IPs into x-forwarded-for to spoof their origin and bypass the API rate limit mechanisms.

🛡️ Solution:

• Updated getClientIp to prefer x-real-ip which is typically properly managed by secure reverse proxies.
• If x-real-ip is absent, fall back to x-forwarded-for but extract the left-most IP ([0]), which corresponds to the original client IP properly tracked by load balancers like AWS ELB or Nginx.
• Updated unit tests in src/lib/__tests__/rateLimit.test.ts to assert the correct behavior according to this secure specification.

---

PR created automatically by Jules for task 15475621045479277026 started by @is0692vs

Greptile Summary

このPRは getClientIp 関数のIPアドレス取得ロジックを変更し、x-real-ip を最優先ヘッダーとして信頼し、x-forwarded-for からは右端ではなく左端のIPを使用するよう修正しています。

• x-real-ip の信頼追加: 変更前は x-real-ip を明示的に信頼しない設計でしたが、本PRでは最優先ソースとして扱うよう変更されています。リバースプロキシがこのヘッダーを上書き・除去しない環境では攻撃者によるスプーフィングが可能なため、要注意です。
• x-forwarded-for の選択: 右端 (at(-1)) から左端 ([0]) に変更しています。
• テスト更新: 新しい仕様に合わせたテストが追加されていますが、最後の it() ブロックが describe ブロックの外側に誤って配置されており、テストが実行されない構造バグがあります。

Confidence Score: 3/5

テスト構造バグとセキュリティ上の懸念があり、このままマージすることは推奨しません。

テストファイルで最後の it() ブロックが describe の外に孤立しており、x-real-ip の優先採用に関してスプーフィングリスクが残っています。どちらも修正なしにマージすると、カバレッジの欠落とレートリミット回避の可能性が生じます。

src/lib/__tests__/rateLimit.test.ts のテスト構造と、src/lib/rateLimit.ts の x-real-ip 信頼ロジックは特に注意が必要です。

Security Review

• x-real-ip スプーフィングリスク (src/lib/rateLimit.ts 70-74行目): x-real-ip ヘッダーをクライアントが自由に設定できる環境では、攻撃者が任意のIPを設定してレートリミットを回避できます。変更前のコードはこのヘッダーを信頼しない設計でしたが、本PRではプロキシ側の設定保証なしに最優先ソースとして扱っています。

Important Files Changed

Filename	Overview
src/lib/rateLimit.ts	getClientIp を変更して x-real-ip を最優先、x-forwarded-for の左端IPをフォールバックとして使用するよう修正。x-real-ip のスプーフィング可能性について要確認。
src/lib/tests/rateLimit.test.ts	テストケースを新仕様に合わせて更新しているが、最後の it() ブロックが describe 外に孤立しており、実際に実行されない構造バグがある。

Flowchart

%%{init: {'theme': 'neutral'}}%%
flowchart TD
    A[リクエスト受信] --> B{x-real-ip ヘッダーあり?}
    B -- Yes --> C[trimして有効なIPか検証]
    C -- 有効 --> D[x-real-ip のIPを返す]
    C -- 無効 --> E{x-forwarded-for ヘッダーあり?}
    B -- No --> E
    E -- No --> F[unknown を返す]
    E -- Yes --> G[左端のIP を取得して trim]
    G --> H{有効なIPか検証}
    H -- 有効 --> I[左端IPを返す]
    H -- 無効 --> F

Loading

Prompt To Fix All With AI

Fix the following 3 code review issues. Work through them one at a time, proposing concise fixes.

---

### Issue 1 of 3
src/lib/__tests__/rateLimit.test.ts:169-177
**テストが `describe` ブロックの外側に配置されている**

167行目の `});` で `describe("getClientIp", ...)` ブロックが閉じられていますが、新しく追加された `it("prefers x-real-ip over x-forwarded-for when both are present", ...)` はそのブロックの外側（169行目）に孤立しています。このテストはテストランナーによって正しく処理されず、無視されるか実行時エラーになる可能性があります。実際の動作検証が行われないまま、実装の正しさが確認されていない状態になります。

### Issue 2 of 3
src/lib/rateLimit.ts:70-74
**`x-real-ip` は攻撃者がスプーフィングできる可能性がある**

`x-real-ip` は通常のHTTPヘッダーにすぎず、リバースプロキシがクライアントからのこのヘッダーを除去・上書きしない設定になっている場合、攻撃者は `X-Real-IP: 127.0.0.1` のような任意のIPを送信してレートリミットを回避できます。変更前のコードは意図的に `x-real-ip` を信頼しない設計（テスト名も `"does not trust x-real-ip"` ）でしたが、本PRでは検証なしに最優先のソースとして扱うよう変更されています。プロキシ側で確実にこのヘッダーが上書きされる保証がない限り、これはセキュリティ上のリグレッションになる可能性があります。

### Issue 3 of 3
src/lib/__tests__/rateLimit.test.ts:159-177
最後の `it(...)` ブロックが `describe("getClientIp", ...)` の外に出てしまっています。正しく内側に移動する必要があります。

```suggestion
    it("returns unknown when the left-most x-forwarded-for token is invalid", () => {
        const req = new Request("http://localhost", {
            headers: {
                "x-forwarded-for": "not-an-ip, 5.6.7.8"
            }
        });
        expect(getClientIp(req)).toBe("unknown");
    });

    it("prefers x-real-ip over x-forwarded-for when both are present", () => {
        const req = new Request("http://localhost", {
            headers: {
                "x-real-ip": "1.2.3.4",
                "x-forwarded-for": "5.6.7.8, 9.10.11.12"
            }
        });
        expect(getClientIp(req)).toBe("1.2.3.4");
    });
});
```

_{Reviews (1): Last reviewed commit: "🔒 Fix Insecure Randomness in IP Fallbac..." | Re-trigger Greptile}

Greptile also left 3 inline comments on this PR.

[google-labs-jules]

👋 Jules, reporting for duty! I'm here to lend a hand with this pull request.

When you start a review, I'll add a 👀 emoji to each comment to let you know I've read it. I'll focus on feedback directed at me and will do my best to stay out of conversations between you and other bots or reviewers to keep the noise down.

I'll push a commit with your requested changes shortly after. Please note there might be a delay between these steps, but rest assured I'm on the job!

For more direct control, you can switch me to Reactive Mode. When this mode is on, I will only act on comments where you specifically mention me with @jules. You can find this option in the Pull Request section of your global Jules UI settings. You can always switch back!

New to Jules? Learn more at jules.google/docs.

---

For security, I will only act on instructions from the user who triggered this task.

[vercel]

The latest updates on your projects. Learn more about Vercel for GitHub.

1 Skipped Deployment

Project	Deployment	Actions	Updated (UTC)
github-user-summary	Ignored		Jun 12, 2026 7:09am

[qodo-code-review]

Qodo reviews are paused for this user.

Troubleshooting steps vary by plan Learn more →

On a Teams plan?
Reviews resume once this user has a paid seat and their Git account is linked in Qodo.
Link Git account →

Using GitHub Enterprise Server, GitLab Self-Managed, or Bitbucket Data Center?
These require an Enterprise plan - Contact us
Contact us →

[coderabbitai]

Warning

Review limit reached

@is0692vs, we couldn't start this review because you've reached your PR review rate limit.

More reviews will be available in 29 minutes and 6 seconds. Learn how PR review limits work.

Your organization has run out of usage credits. Purchase more credits in the billing tab to continue.

⌛ How to resolve this issue?

After more reviews become available, a review can be triggered using the @coderabbitai review command as a PR comment. Alternatively, push new commits to this PR.

We recommend that you space out your commits to avoid hitting the rate limit.

🚦 How do rate limits work?

CodeRabbit enforces hourly rate limits for each developer per organization.

Our paid plans include higher PR review limits than trial, open-source, and free plans. In all cases, reviews become available again over time. During sustained high-volume PR review activity, CodeRabbit may temporarily slow when the next review becomes available.

Please see our Fair Usage Limits Policy for further information.

ℹ️ Review info

⚙️ Run configuration

Configuration used: Organization UI

Review profile: ASSERTIVE

Plan: Pro

Run ID: e5a855c9-0f2e-4895-a78a-e4778a7ebde5

📥 Commits

Reviewing files that changed from the base of the PR and between a475ecb and 61d47b9.

📒 Files selected for processing (2)

• src/lib/__tests__/rateLimit.test.ts
• src/lib/rateLimit.ts

✨ Finishing Touches

🧪 Generate unit tests (beta)

• Create PR with unit tests
• Commit unit tests in branch fix-ip-fallback-insecure-randomness-15475621045479277026

---

Thanks for using CodeRabbit! It's free for OSS, and your support helps us grow. If you like it, consider giving us a shout-out.

❤️ Share

• X
• Mastodon
• Reddit
• LinkedIn

_{Comment @coderabbitai help to get the list of available commands and usage tips.}

[gemini-code-assist]

Code Review

This pull request updates the IP resolution logic in getClientIp to prioritize the x-real-ip header and retrieve the left-most IP from the x-forwarded-for header instead of the right-most. The test suite has been updated to reflect these changes. Feedback on the tests notes that a new test case was accidentally placed outside of the describe block due to a premature closing brace, and suggests moving the closing brace to the end of the file and adding an explicit return type to the test function.

Important

The consumer version of Gemini Code Assist on GitHub is being sunset. Starting June 18, 2026, new organization installations will be blocked, and all code review activity will officially cease on July 17, 2026.
For more details on the timeline and next steps, please review the Help Documentation.

[gemini-code-assist]

The describe block for getClientIp is closed prematurely on line 167, which leaves the new test case prefers x-real-ip over x-forwarded-for when both are present outside of the describe block. This breaks the logical grouping of the tests and leaves the test at the root level of the file. Please move the closing brace }); to the end of the file to properly include this test case within the getClientIp suite. Additionally, ensure the test function has an explicit return type to maintain type safety.

    it("prefers x-real-ip over x-forwarded-for when both are present", (): void => {
        const req = new Request("http://localhost", {
            headers: {
                "x-real-ip": "1.2.3.4",
                "x-forwarded-for": "5.6.7.8, 9.10.11.12"
            }
        });
        expect(getClientIp(req)).toBe("1.2.3.4");
    });
});

References

1. Maintain explicit return types for functions in TypeScript to ensure type safety and API clarity.

[codecov]

Codecov Report

✅ All modified and coverable lines are covered by tests.

📢 Thoughts on this report? Let us know!

[greptile-apps]

テストが describe ブロックの外側に配置されている

167行目の }); で describe("getClientIp", ...) ブロックが閉じられていますが、新しく追加された it("prefers x-real-ip over x-forwarded-for when both are present", ...) はそのブロックの外側（169行目）に孤立しています。このテストはテストランナーによって正しく処理されず、無視されるか実行時エラーになる可能性があります。実際の動作検証が行われないまま、実装の正しさが確認されていない状態になります。

Prompt To Fix With AI

This is a comment left during a code review.
Path: src/lib/__tests__/rateLimit.test.ts
Line: 169-177

Comment:
**テストが `describe` ブロックの外側に配置されている**

167行目の `});` で `describe("getClientIp", ...)` ブロックが閉じられていますが、新しく追加された `it("prefers x-real-ip over x-forwarded-for when both are present", ...)` はそのブロックの外側（169行目）に孤立しています。このテストはテストランナーによって正しく処理されず、無視されるか実行時エラーになる可能性があります。実際の動作検証が行われないまま、実装の正しさが確認されていない状態になります。

How can I resolve this? If you propose a fix, please make it concise.

[greptile-apps]

x-real-ip は攻撃者がスプーフィングできる可能性がある

x-real-ip は通常のHTTPヘッダーにすぎず、リバースプロキシがクライアントからのこのヘッダーを除去・上書きしない設定になっている場合、攻撃者は X-Real-IP: 127.0.0.1 のような任意のIPを送信してレートリミットを回避できます。変更前のコードは意図的に x-real-ip を信頼しない設計（テスト名も "does not trust x-real-ip" ）でしたが、本PRでは検証なしに最優先のソースとして扱うよう変更されています。プロキシ側で確実にこのヘッダーが上書きされる保証がない限り、これはセキュリティ上のリグレッションになる可能性があります。

Prompt To Fix With AI

This is a comment left during a code review.
Path: src/lib/rateLimit.ts
Line: 70-74

Comment:
**`x-real-ip` は攻撃者がスプーフィングできる可能性がある**

`x-real-ip` は通常のHTTPヘッダーにすぎず、リバースプロキシがクライアントからのこのヘッダーを除去・上書きしない設定になっている場合、攻撃者は `X-Real-IP: 127.0.0.1` のような任意のIPを送信してレートリミットを回避できます。変更前のコードは意図的に `x-real-ip` を信頼しない設計（テスト名も `"does not trust x-real-ip"` ）でしたが、本PRでは検証なしに最優先のソースとして扱うよう変更されています。プロキシ側で確実にこのヘッダーが上書きされる保証がない限り、これはセキュリティ上のリグレッションになる可能性があります。

How can I resolve this? If you propose a fix, please make it concise.

[greptile-apps]

最後の it(...) ブロックが describe("getClientIp", ...) の外に出てしまっています。正しく内側に移動する必要があります。

Suggested change

	it("returns unknown when the left-most x-forwarded-for token is invalid", () => {
	const req = new Request("http://localhost", {
	headers: {
	"x-forwarded-for": "5.6.7.8, not-an-ip"
	"x-forwarded-for": "not-an-ip, 5.6.7.8"
	}
	});
	expect(getClientIp(req)).toBe("unknown");
	});
	});
	it("prefers x-real-ip over x-forwarded-for when both are present", () => {
	const req = new Request("http://localhost", {
	headers: {
	"x-real-ip": "1.2.3.4",
	"x-forwarded-for": "5.6.7.8, 9.10.11.12"
	}
	});
	expect(getClientIp(req)).toBe("1.2.3.4");
	});
	it("returns unknown when the left-most x-forwarded-for token is invalid", () => {
	const req = new Request("http://localhost", {
	headers: {
	"x-forwarded-for": "not-an-ip, 5.6.7.8"
	}
	});
	expect(getClientIp(req)).toBe("unknown");
	});
	it("prefers x-real-ip over x-forwarded-for when both are present", () => {
	const req = new Request("http://localhost", {
	headers: {
	"x-real-ip": "1.2.3.4",
	"x-forwarded-for": "5.6.7.8, 9.10.11.12"
	}
	});
	expect(getClientIp(req)).toBe("1.2.3.4");
	});
	});

Prompt To Fix With AI

This is a comment left during a code review.
Path: src/lib/__tests__/rateLimit.test.ts
Line: 159-177

Comment:
最後の `it(...)` ブロックが `describe("getClientIp", ...)` の外に出てしまっています。正しく内側に移動する必要があります。

```suggestion
    it("returns unknown when the left-most x-forwarded-for token is invalid", () => {
        const req = new Request("http://localhost", {
            headers: {
                "x-forwarded-for": "not-an-ip, 5.6.7.8"
            }
        });
        expect(getClientIp(req)).toBe("unknown");
    });

    it("prefers x-real-ip over x-forwarded-for when both are present", () => {
        const req = new Request("http://localhost", {
            headers: {
                "x-real-ip": "1.2.3.4",
                "x-forwarded-for": "5.6.7.8, 9.10.11.12"
            }
        });
        expect(getClientIp(req)).toBe("1.2.3.4");
    });
});
```

How can I resolve this? If you propose a fix, please make it concise.

Note: If this suggestion doesn't match your team's coding style, reply to this and let me know. I'll remember it for next time!