このページの内容は Apigee と Apigee ハイブリッドに適用されます。
Apigee Edge のドキュメントを表示する
このページでは、Advanced API Security の使用に関するベスト プラクティスについて説明します。
X-Forwarded-For リクエスト ヘッダーを保持する
X-Forwarded-For(XFF)リクエスト ヘッダーは、プロキシ サーバー経由でウェブサーバーに接続するクライアントの送信元 IP アドレスを特定するための標準ヘッダーです。多くのプラットフォームには、セキュリティ上の理由により、受信リクエストから XFF ヘッダーを削除する機能が用意されています。ただし、Advanced API Security を使用している場合は、ML アルゴリズムで不正使用トラフィックの特定やセキュリティ スコアの計算を行う際に、IP アドレス情報が必要になるため、この方法はおすすめしません。
プラットフォームで XFF ヘッダーが削除されているかどうかを確認する方法
プラットフォームで XFF ヘッダーが削除されているかどうかを確認するには、次のような API 呼び出しを行います。
curl https://apigee.googleapis.com/v1/organizations/ORG/environments/ENV/stats/x_forwarded_for_ip?select=avg(total_response_time)&timeRange=9/24/2018%2000:00~10/25/2018%2000:00&timeUnit=day \ -H "Authorization: Bearer $TOKEN"
ここで、ORG は組織、ENV は組織内の環境です。
プラットフォームで XFF ヘッダーが削除されている場合は、最初の行が次のようになるレスポンスが返されます。
"name": "(not set)",
レスポンスの (not set) は、プラットフォームで XFF ヘッダーが削除されていることを意味します。