Diese Seite gilt für Apigee und Apigee Hybrid.
Apigee Edge-Dokumentation aufrufen
Auf dieser Seite werden einige Best Practices für die Arbeit mit der erweiterten API-Sicherheit beschrieben.
X-Forwarded-For-Anfrageheader beibehalten
Der Anfrageheader X-Forwarded-For (XFF) ist ein Standardheader zum Identifizieren der Ursprungs-IP-Adressen von Clients, die eine Verbindung zu einem Webserver über einen Proxyserver herstellen. Viele Plattformen bieten die Möglichkeit, aus Sicherheitsgründen XFF-Header aus eingehenden Anfragen zu entfernen. Dies wird jedoch nicht empfohlen, wenn Sie die erweiterte API-Sicherheit verwenden, da die verwendeten Algorithmen für maschinelles Lernen die IP-Adressinformationen benötigen, um Missbrauchstraffic zu identifizieren und Sicherheitspunktzahlen zu berechnen.
So ermitteln Sie, ob auf Ihrer Plattform XFF-Header entfernt werden
Führen Sie einen API-Aufruf wie den folgenden aus, um festzustellen, ob Ihre Plattform XFF-Header entfernt:
curl https://apigee.googleapis.com/v1/organizations/ORG/environments/ENV/stats/x_forwarded_for_ip?select=avg(total_response_time)&timeRange=9/24/2018%2000:00~10/25/2018%2000:00&timeUnit=day \ -H "Authorization: Bearer $TOKEN"
Dabei ist ORG Ihre Organisation und ENV eine Umgebung in der Organisation.
Wenn Ihre Plattform XFF-Header entfernt, wird eine Antwort zurückgegeben. In der ersten Zeile steht
"name": "(not set)",
Der (not set) in der Antwort bedeutet, dass Ihre Plattform XFF-Header entfernt.