Cette page s'applique à Apigee et à Apigee hybrid.
Consultez la documentation d'
Apigee Edge.
Cette page décrit quelques-unes des bonnes pratiques à suivre pour utiliser Advanced API Security.
Conserver les en-têtes de requête X-Forwarded-For
L'en-tête de requête X-Forwarded-For (XFF) est un en-tête standard permettant d'identifier les adresses IP d'origine des clients se connectant à un serveur Web via un serveur proxy. De nombreuses plates-formes offrent la possibilité de supprimer les en-têtes XFF des requêtes entrantes pour des raisons de sécurité. Toutefois, cette approche n'est pas recommandée si vous utilisez Advanced API Security, car les algorithmes de machine learning utilisés ont besoin des informations d'adresse IP pour identifier le trafic abusif et calculer les scores de sécurité.
Déterminer si votre plate-forme supprime les en-têtes XFF
Pour déterminer si votre plate-forme supprime les en-têtes XFF, effectuez un appel d'API comme suit :
curl https://apigee.googleapis.com/v1/organizations/ORG/environments/ENV/stats/x_forwarded_for_ip?select=avg(total_response_time)&timeRange=9/24/2018%2000:00~10/25/2018%2000:00&timeUnit=day \ -H "Authorization: Bearer $TOKEN"
où ORG est votre organisation et ENV un environnement au sein de l'organisation.
Si votre plate-forme supprime les en-têtes XFF, la réponse est renvoyée dans laquelle la première ligne est renvoyée.
"name": "(not set)",
L'élément (not set) dans la réponse signifie que votre plate-forme supprime les en-têtes XFF.