Der CMI STS hinter einem Proxy

Wird der CMI STS hinter einem Proxy betrieben, ist dem STS die Herkunft einer Anfrage nicht bekannt.

Viele Proxies senden zusätzliche http-Header um die Herkunft einer Anfrage dem Zielsystem mitzuteilen:

• X-Forwarded-For
• X-Forwarded-Proto
• X-Forwarded-Host

Der CMI STS kann konfiguriert werden, diese Header anstatt der Verbindungsinformationen des Proxies zu verwenden.

Microsoft dokumentiert das Szenario einer ASP.NET Core Anwendung hinter einem Proxy im Artikel "Configure ASP.NET Core to work with proxy servers and load balancers".

Standardkonfiguration

Wenn keine Konfiguration vorgenommen wird, werden die Header nicht verwendet.

Konfiguration

Das Verhalten zu den Forward-Headern wird in der Sektion ForwardedHeaders konfiguriert. Es stehen alle Optionen der Klasse ForwardedHeadersOptions zur Verfügung.

In diesem Abschnitt wird die Dokumentation der Klasse ForwardedHeadersOptions von Microsoft nicht wiederholt, es werden nur Konfigurationshinweise zu einigen Optionen dokumentiert.

• ForwardedHeaders: Wenn mehrere Optionen dieses Flags verwendet werden sollen, können die Flags kommagetrennt aufgeführt werden. All aktiviert alle Optionen.
• KnownProxies: Bekannte Proxies können als Array von Ip-Adressen angegeben werden.
• KnownNetworks: Bekannte Netzwerke können als Array in der CIDR-Notation 0.0.0.0/0 / 0:0:0:0:0:0:0:0/0 angegeben werden.

{
  "ForwardedHeaders": {
    "ForwardedHeaders": "XForwardedFor, XForwardedHost, XForwardedProto",
    "KnownProxies": ["10.0.0.6", "10.0.0.7"],
    "KnownNetworks": [ "10.0.0.0/8", "::1/128"]
  }
}