本页面适用于 Apigee 和 Apigee Hybrid。
查看 Apigee Edge 文档。
本页面介绍了使用 Advanced API Security 的一些最佳实践。
保留 X-Forwarded-For 请求标头
X-Forwarded-For (XFF) 请求标头是一个标准标头,用于识别通过代理服务器连接到 Web 服务器的客户端的来源 IP 地址。出于安全目的,许多平台都能够从传入请求中删除 XFF 标头。但是,如果您使用的是 Advanced API Security,则不建议这样做,因为它使用的机器学习算法需要 IP 地址信息来识别滥用行为流量和计算安全得分。
如何确定您的平台是否去除了 XFF 标头
如需确定您的平台是否去除了 XFF 标头,请进行如下 API 调用:
curl https://apigee.googleapis.com/v1/organizations/ORG/environments/ENV/stats/x_forwarded_for_ip?select=avg(total_response_time)&timeRange=9/24/2018%2000:00~10/25/2018%2000:00&timeUnit=day \ -H "Authorization: Bearer $TOKEN"
其中,ORG 是您的组织,ENV 是组织中的环境。
如果您的平台去除了 XFF 标头,则会返回一个响应,其中第一行将为
"name": "(not set)",
响应中的 (not set) 表示您的平台会删除 XFF 标头。