Esta página se aplica à Apigee e à Apigee híbrida.
Confira a documentação da
Apigee Edge.
Nesta página, descrevemos algumas práticas recomendadas para trabalhar com a segurança avançada de APIs.
Preservar cabeçalhos de solicitação X-Forwarded-For
O cabeçalho da solicitação X-Forwarded-For (XFF) é um cabeçalho padrão para identificar os endereços IP de origem dos clientes que se conectam a um servidor da Web por meio de um servidor proxy. Muitas plataformas oferecem a capacidade de remover os cabeçalhos XFF das solicitações de entrada por motivos de segurança. No entanto, isso não é recomendado se você estiver usando o Advanced API Security, porque os algoritmos de machine learning que ela usa precisam das informações de endereço IP para identificar tráfego abusivo e calcular pontuações de segurança.
Como determinar se sua plataforma está removendo cabeçalhos XFF
Para determinar se sua plataforma está removendo cabeçalhos XFF, faça uma chamada de API como esta:
curl https://apigee.googleapis.com/v1/organizations/ORG/environments/ENV/stats/x_forwarded_for_ip?select=avg(total_response_time)&timeRange=9/24/2018%2000:00~10/25/2018%2000:00&timeUnit=day \ -H "Authorization: Bearer $TOKEN"
em que ORG é sua organização e ENV é um ambiente na organização.
Se sua plataforma estiver removendo cabeçalhos XFF, isso retornará uma resposta na qual a primeira linha será
"name": "(not set)",
O (not set) na resposta significa que sua plataforma está
removendo os cabeçalhos XFF.