格式化请求头，排除敏感信息#

调试 API 或者寻求帮助时，经常需要分享请求头信息。但直接复制粘贴可能会泄露敏感数据，比如 Token、IP 地址等。这篇笔记记录一下清理方法。

原始请求头示例#

从某个 API 调用中抓到的请求头：

1
Content-Type: application/json
2
Accept: */*
3
Content-Length: 2469
4
Cf-Visitor: {"scheme":"https"}
5
Accept-Encoding: gzip, br
6
Cf-Ray: 9daf35915b4133cf-NRT
7
Cdn-Loop: cloudflare; loops=1
8
Connection: Keep-Alive
9
Cf-Ipcountry: JP
10
X-Forwarded-Proto: https
11
User-Agent: opencode/1.2.24 ai-sdk/provider-utils/3.0.20 runtime/bun/1.3.10
12
Cf-Connecting-Ip: 212.107.30.202
13
X-Forwarded-For: 212.107.30.202
14
Authorization: Bearer sk-h...code

这里面有些东西不该公开：

Authorization - 包含 API Token
Cf-Connecting-Ip / X-Forwarded-For - 真实 IP 地址
Cf-Ray / Cdn-Loop / Cf-Visitor - Cloudflare 的追踪信息
Content-Length - 随请求体变化，不是固定值

清理后的版本#

保留必要的标准头字段：

1
headers:
2
  Content-Type: application/json
3
  Accept: "*/*"
4
  Accept-Encoding: "gzip, br"
5
  User-Agent: "opencode/1.2.24 ai-sdk/provider-utils/3.0.20 runtime/bun/1.3.10"

各类请求头字段说明#

应该保留的标准字段#

字段名	说明	示例
Content-Type	请求体格式	`application/json`
Accept	可接受的响应格式	`/` 或 `application/json`
Accept-Encoding	支持的压缩格式	`gzip, br`
User-Agent	客户端标识	`curl/7.68.0`
Content-Length	请求体长度（可选）	`2469`

这些字段通常不包含敏感信息，对调试有帮助。

应该移除的敏感字段#

字段名	说明	风险
Authorization	认证信息	泄露 Token
Cookie	会话凭证	可能被劫持
X-Api-Key	API 密钥	直接泄露密钥
X-Auth-Token	认证令牌	会话被盗用
Proxy-Authorization	代理认证	代理凭证泄露

通常可以移除的临时/追踪字段#

字段名	说明
X-Forwarded-For	原始客户端 IP
X-Real-Ip	真实 IP
Cf-Connecting-Ip	Cloudflare 传递的 IP
X-Request-Id	请求追踪 ID
Trace-Id	链路追踪 ID
X-Amzn-Trace-Id	AWS 追踪 ID

这些字段通常由 CDN、负载均衡或网关自动添加，对问题诊断帮助不大，反而可能暴露部署信息。

自动清理脚本#

用 Python 快速清理：

1
import re
2

3
# 定义要移除的敏感字段模式
4
SENSITIVE_PATTERNS = [
5
    r'^Authorization:.*$',
6
    r'^Cookie:.*$',
7
    r'^X-Api-Key:.*$',
8
    r'^X-Auth-Token:.*$',
9
    r'^X-Forwarded-For:.*$',
10
    r'^X-Real-Ip:.*$',
11
    r'^Cf-Connecting-Ip:.*$',
12
    r'^Cf-Ray:.*$',
13
    r'^Cdn-Loop:.*$',
14
    r'^Cf-Visitor:.*$',
15
    r'^Cf-Ipcountry:.*$',
16
    r'^Content-Length:.*$',
17
    r'^Connection:.*$',
18
]
19

20
def clean_headers(headers_text):
21
    lines = headers_text.strip().split('\n')
22
    cleaned = []
23

24
    for line in lines:
25
        should_keep = True
26
        for pattern in SENSITIVE_PATTERNS:
27
            if re.match(pattern, line, re.IGNORECASE):
28
                should_keep = False
29
                break
30
        if should_keep:
31
            cleaned.append(line)
32

33
    return '\n'.join(cleaned)
34

35
# 使用示例
36
raw_headers = """
37
Content-Type: application/json
38
Authorization: Bearer sk-xxxxxxxx
39
X-Forwarded-For: 192.168.1.1
40
User-Agent: MyApp/1.0
41
"""
42

43
print(clean_headers(raw_headers))

使用 jq 处理 JSON 格式的头信息#

如果请求头是以 JSON 格式存储的：

1
{
2
  "Content-Type": "application/json",
3
  "Authorization": "Bearer sk-xxx",
4
  "X-Forwarded-For": "192.168.1.1",
5
  "User-Agent": "MyApp/1.0"
6
}

用 jq 删除敏感字段：

1
# 删除特定字段
2
jq 'del(.Authorization, .["X-Forwarded-For"], .Cookie)' headers.json
3

4
# 只保留白名单字段
5
jq '{"Content-Type", "Accept", "User-Agent", "Accept-Encoding"}' headers.json

格式化 YAML 配置#

在配置文件中使用清理后的请求头：

1
api_client:
2
  base_url: https://api.example.com
3
  timeout: 30
4
  headers:
5
    Content-Type: application/json
6
    Accept: application/json
7
    User-Agent: "MyBot/1.0"
8
    # 注意：Authorization 通过环境变量注入，不写在配置里

对应的代码读取方式：

1
import os
2
import yaml
3

4
with open('config.yaml') as f:
5
    config = yaml.safe_load(f)
6

7
headers = config['api_client']['headers']
8
headers['Authorization'] = f"Bearer {os.environ['API_KEY']}"