Advanced API Security 最佳实践

本页面适用于 ApigeeApigee Hybrid

查看 Apigee Edge 文档。

本页面介绍了使用 Advanced API Security 的一些最佳实践。

保留 X-Forwarded-For 请求标头

X-Forwarded-For (XFF) 请求标头是一个标准标头,用于识别通过代理服务器连接到 Web 服务器的客户端的来源 IP 地址。出于安全目的,许多平台都能够从传入请求中删除 XFF 标头。但是,如果您使用的是 Advanced API Security,则不建议这样做,因为它使用的机器学习算法需要 IP 地址信息来识别滥用行为流量和计算安全得分。

如何确定您的平台是否去除了 XFF 标头

如需确定您的平台是否去除了 XFF 标头,请进行如下 API 调用:

curl https://apigee.googleapis.com/v1/organizations/ORG/environments/ENV/stats/x_forwarded_for_ip?select=avg(total_response_time)&timeRange=9/24/2018%2000:00~10/25/2018%2000:00&timeUnit=day \
 -H "Authorization: Bearer $TOKEN"

其中,ORG 是您的组织,ENV 是组织中的环境。

如果您的平台去除了 XFF 标头,则会返回一个响应,其中第一行将为

 "name": "(not set)",

响应中的 (not set) 表示您的平台会删除 XFF 标头。