Prácticas recomendadas sobre Advanced API Security

Esta página se aplica a Apigee y Apigee Hybrid.

Consulta la documentación de Apigee Edge.

En esta página, se describen algunas prácticas recomendadas para trabajar con Advanced API Security.

Preserva los encabezados de la solicitud X-Forwarded-For

El encabezado de la solicitud X-Forwarded-For (XFF) es un encabezado estándar que se usa para identificar las direcciones IP de origen de los clientes que se conectan a un servidor web a través de un servidor proxy. Muchas plataformas proporcionan la capacidad de quitar los encabezados XFF de las solicitudes entrantes por motivos de seguridad. Sin embargo, esto no se recomienda si usas la seguridad avanzada de la API, ya que los algoritmos de aprendizaje automático que usa necesitan la información de la dirección IP para identificar el tráfico de abuso y calcular las puntuaciones de seguridad.

Cómo determinar si tu plataforma quita los encabezados XFF

Para determinar si tu plataforma quita los encabezados XFF, realiza una llamada a la API como la siguiente:

curl https://apigee.googleapis.com/v1/organizations/ORG/environments/ENV/stats/x_forwarded_for_ip?select=avg(total_response_time)&timeRange=9/24/2018%2000:00~10/25/2018%2000:00&timeUnit=day \
 -H "Authorization: Bearer $TOKEN"

En el ejemplo anterior, ORG es tu organización y ENV es un entorno en la organización.

Si tu plataforma quita encabezados XFF, se muestra una respuesta en la que la primera línea será la siguiente:

 "name": "(not set)",

El (not set) en la respuesta significa que tu plataforma quita los encabezados XFF.