信頼済みの X-Forwarded-For ヘッダーのみを利用し、それ以外の場合は直接接続の IP を使って偽装を防ぎます。
いいえ。プライベート/ローカルIPはこのセッション内だけで処理され、表示も接続に使用したIPのみです。
はい。Accept: text/plain や format=txt を指定してGETすると、シンプルなIP文字列を取得できます。