ログのデータを渡すためにhttpヘッダーを使用する

Question

私はASP.Net Web APIと通信するWindowsアプリケーションを開発しています。重要な情報が自動的にログに記録されるWeb APIに対して、動的ログ戦略（log4netを使用）を実装する必要があります。 私はこれにhttpヘッダーを使用することを考えていました。 たとえば、ヘッダに「X-Log-」などの接頭辞を使用できます。 Web APIのロガーは自動的にこれを選択し、その接頭辞を持つすべてのヘッダーを記録します。

しかし、私は上記について多くの質問があります。

1. これは標準的な方法ですか、それともアンチパターンですか？
2. 機密データがヘッダーに配置されている場合（sslが使用されている場合）、セキュリティ上のリスクはありますか？
3. 特定のヘッダーを持つ要求をブロックするようにファイアウォールを構成できますか。

Answer 1

あなたの質問に対する回答は、「それは依存している」と答えることができると思います。

これは標準的な方法ですか？私はそれが完了したことを見たことはありませんが、それが簡潔で明示的な方法で実装されていれば悪いというわけではありません。フロントエンドをAPIに結びつけ、潜在的な赤旗になる可能性があります。ロギング専用のAPIエンドポイントを持つ方が良いかもしれません。

セキュリティリスクは、ユーザー（およびユーザー）が機密情報とみなし、その情報が他の場所で利用可能かどうかによって異なります。既に画面上に表示されている場合は、HTTPSを使用している限り、あまり心配する必要はありません。それが画面上に何かでなければ、それについてもっと考える必要があります。

そして、はい、ファイアウォールはこれらのヘッダを持つ着信要求をブロックすることができます。

希望に役立ちます。