예를 들어 Nginx 뒤에 있거나, 특별히 항상 지정하지 않는다면 X-Real-IP헤더를 읽어선 안됨. 스푸핑 된 값을 읽을수도 있기 때문

이 부분은 살짝 오역인 것 같습니다. 원문은 이렇습니다.

For example, you must not check the X-Real-IP header if you’re not behind Nginx or something else that always sets it, because you’ll be reading a spoofed value.

예를 들어서, Nginx 뒤에 있지 않거나 항상 (헤더를) 설정하도록 되어 있지 않다면 X-Real-IP 헤더를 읽어서는 안 된다. 스푸핑 된 값을 읽게 되기 때문.