Quem e onde o cabeçalho X-Forwarded-For na solicitação do usuário é adicionado?

Normalmente, esse cabeçalho é inserido apenas por um proxy de encaminhamento quando há um proxy upstream para identificar o originador, caso contrário, se um proxy de encaminhamento inserisse esse cabeçalho para solicitações pela Internet, normalmente seria considerado um vazamento de informações potencialmente confidenciais.

Portanto, raramente é usado para proxies de encaminhamento e usado principalmente por proxies reversos para identificar o cliente baseado na Internet no servidor Web de backend, já que os servidores da Web atrás de proxies reversos geralmente vêem todas as conexões como provenientes da interface interna do reverso proxy.

Alternativas para isso são  - o Protocolo de Proxy, que envia esses dados pela conexão antes da solicitação real em um formato diferente  - inverter NAT, que mantém o IP do cliente externo na conexão de retorno

Outras vezes você vê X-Forwarded-For, na prática, é onde alguns clientes inserem o cabeçalho para tentar obter privilégios elevados, se o proxy reverso passar o valor por exemplo.

No caso de um proxy de encaminhamento (um proxy usado pelo seu servidor da web), esse cabeçalho pode ser adicionado pelo proxy para informar ao (s) IP (s) do usuário de origem, para que os servidores da web descubram que o O IP que faz o pedido - que será o proxy - não é o IP que realmente fez o pedido.

No caso de um proxy reverso (colocado na frente de servidores da Web para fazer cache, TLS, servindo conteúdo estático, etc), esse cabeçalho contém o IP do usuário originador, conforme visto pelo proxy reverso (o os servidores por trás dele verão todos os pedidos vindos do IP do proxy reverso, então esse cabeçalho é essencial para que eles saibam qual é o IP real que fez o pedido).

Claro, se nenhum proxy estiver envolvido, este cabeçalho não existe.