Cette page s'applique à Apigee et à Apigee hybrid.
Consultez la documentation d'Apigee Edge.
Cette page décrit quelques-unes des bonnes pratiques à suivre pour utiliser Advanced API Security.
Conserver les en-têtes de requête X-Forwarded-For
L'en-tête de requête X-Forwarded-For (XFF) est un en-tête standard permettant d'identifier les adresses IP d'origine des clients se connectant à un serveur Web via un serveur proxy. De nombreuses plates-formes offrent la possibilité de supprimer les en-têtes XFF des requêtes entrantes pour des raisons de sécurité. Toutefois, cette approche n'est pas recommandée si vous utilisez Advanced API Security, car les algorithmes de machine learning utilisés ont besoin des informations sur les adresses IP pour identifier le trafic abusif et calculer les scores de sécurité.
Déterminer si votre plate-forme supprime les en-têtes XFF
Pour déterminer si votre plate-forme supprime les en-têtes XFF, effectuez un appel d'API comme suit :
curl https://apigee.googleapis.com/v1/organizations/ORG/environments/ENV/stats/x_forwarded_for_ip?select=avg(total_response_time)&timeRange=9/24/2018%2000:00~10/25/2018%2000:00&timeUnit=day \ -H "Authorization: Bearer $TOKEN"
où ORG est votre organisation et ENV un environnement de l'organisation.
Si votre plate-forme supprime les en-têtes XFF, l'appel renvoie une réponse dont la première ligne est la suivante :
"name": "(not set)",
L'élément (not set)
qui figure dans la réponse signifie que votre plate-forme supprime les en-têtes XFF.