如何在生产中防止 Ocp-Apim-Trace: true 和 ocp-apim-trace-location?
How to prevent Ocp-Apim-Trace: true and ocp-apim-trace-location in production?
我理解当请求包含 Ocp-Apim-Trace: true 时,如下所示:
GET /api/v1/BotConfig HTTP/1.1
Host: xyz.azure-api.net
Cache-Control: no-cache
Ocp-Apim-Trace: true
Ocp-Apim-Subscription-Key: ••••••••••••••••••••••••••••••••
API 管理添加 ocp-apim-trace-location header:
ocp-apim-trace-location: https://womewhere.blob.core.windows.net/apiinspectorcontainer/Hin6_SGFT-some-parameters
这显然是一个安全问题,我确定我漏掉了一点。
为 API 管理开发人员启用 ocp-apim-trace-location,但确保为 public 服务消费者禁用它的机制是什么?
跟踪位置(ocp-apim-trace-location 响应 header)仅适用于管理员帐户。对于 non-admin 个帐户或没有订阅密钥时,不会收集跟踪。
我理解当请求包含 Ocp-Apim-Trace: true 时,如下所示:
GET /api/v1/BotConfig HTTP/1.1
Host: xyz.azure-api.net
Cache-Control: no-cache
Ocp-Apim-Trace: true
Ocp-Apim-Subscription-Key: ••••••••••••••••••••••••••••••••
API 管理添加 ocp-apim-trace-location header:
ocp-apim-trace-location: https://womewhere.blob.core.windows.net/apiinspectorcontainer/Hin6_SGFT-some-parameters
这显然是一个安全问题,我确定我漏掉了一点。
为 API 管理开发人员启用 ocp-apim-trace-location,但确保为 public 服务消费者禁用它的机制是什么?
跟踪位置(ocp-apim-trace-location 响应 header)仅适用于管理员帐户。对于 non-admin 个帐户或没有订阅密钥时,不会收集跟踪。