Práticas recomendadas para segurança avançada de APIs

Esta página se aplica à Apigee e à Apigee híbrida.

Confira a documentação da Apigee Edge.

Nesta página, descrevemos algumas práticas recomendadas para trabalhar com a segurança avançada de APIs.

Preservar cabeçalhos de solicitação X-Forwarded-For

O cabeçalho da solicitação X-Forwarded-For (XFF) é um cabeçalho padrão para identificar os endereços IP de origem dos clientes que se conectam a um servidor da Web por meio de um servidor proxy. Muitas plataformas oferecem a capacidade de remover os cabeçalhos XFF das solicitações de entrada por motivos de segurança. No entanto, isso não é recomendado se você estiver usando o Advanced API Security, porque os algoritmos de machine learning que ela usa precisam das informações de endereço IP para identificar tráfego abusivo e calcular pontuações de segurança.

Como determinar se sua plataforma está removendo cabeçalhos XFF

Para determinar se sua plataforma está removendo cabeçalhos XFF, faça uma chamada de API como esta:

curl https://apigee.googleapis.com/v1/organizations/ORG/environments/ENV/stats/x_forwarded_for_ip?select=avg(total_response_time)&timeRange=9/24/2018%2000:00~10/25/2018%2000:00&timeUnit=day \
 -H "Authorization: Bearer $TOKEN"

em que ORG é sua organização e ENV é um ambiente na organização.

Se sua plataforma estiver removendo cabeçalhos XFF, isso retornará uma resposta na qual a primeira linha será

 "name": "(not set)",

O (not set) na resposta significa que sua plataforma está removendo os cabeçalhos XFF.