Stai visualizzando la documentazione di Apigee Edge.
Vai alla sezione
Documentazione di Apigee X. Informazioni
Il criterio RegularExpressionProtection definisce le espressioni regolari valutate in base il tempo di esecuzione sui parametri di input o sulle variabili di flusso. In genere utilizzi questo criterio per proteggerti da minacce nei contenuti come SQL injection o JavaScript oppure per verificare la presenza di parametri di richiesta non corretti come indirizzi email o URL.
È possibile definire espressioni regolari per percorsi di richiesta, parametri di ricerca, parametri intestazioni, elementi XML (in un payload XML definito utilizzando XPath), attributi degli oggetti JSON (in un file JSON payload definito utilizzando JSONPath).
Il seguente criterio RegularExpressionProtection protegge il backend da SQL attacchi con iniezione di codice:
<!-- /antipatterns/examples/greedy-1.xml --> <RegularExpressionProtection async="false" continueOnError="false" enabled="true" name="RegexProtection"> <DisplayName>RegexProtection</DisplayName> <Properties/> <Source>request</Source> <IgnoreUnresolvedVariables>false</IgnoreUnresolvedVariables> <QueryParam name="query"> <Pattern>[\s]*(?i)((delete)|(exec)|(drop\s*table)| (insert)|(shutdown)|(update)|(\bor\b))</Pattern> </QueryParam> </RegularExpressionProtection>
Antipattern
I quantificatori predefiniti (*, + e ?) sono ingordi
naturale: iniziano a corrispondere alla sequenza più lunga possibile. Se non trova corrispondenze,
torna gradualmente indietro per cercare di
adattarlo allo schema. Se la stringa risultante corrispondente al pattern è
molto breve, l'uso di quantificatori avidi può richiedere più tempo del necessario. In particolare
true se il payload è di grandi dimensioni (in decine o centinaia di kB).
La seguente espressione di esempio utilizza più istanze di .*, che sono greedy
operatori:
<Pattern>.*Exception in thread.*</Pattern>
In questo esempio, il criterio RegularExpressionProtection tenta innanzitutto di trovare la corrispondenza più lunga possibile
sequenza: l'intera stringa. Se non viene trovata alcuna corrispondenza, la norma torna indietro nel tempo
gradualmente. Se la stringa corrispondente è vicina all'inizio o alla metà del payload, l'uso di un
quantificatore greedy come .* può richiedere molto più tempo e potenza di elaborazione rispetto ai riluttanti
qualificatori come .*? o (meno comunemente) quantificatori possessivi come
.*+.
I quantificatori riluttanti (come X*?, X+?, X??) iniziano provando
per trovare una corrispondenza con un singolo carattere dall'inizio del payload e aggiungere gradualmente i caratteri.
I quantificatori propositivi (come X?+, X*+, X++) cercano di trovare una corrispondenza con
l'intero payload solo una volta.
Dato il seguente testo di esempio per il pattern riportato sopra:
Hello this is a sample text with Exception in thread with lot of text after the Exception text.
In questo caso, l'utilizzo dello standard .* greedy non è efficace. Lo schema
.*Exception in thread.* richiede 141 passi per abbinare. Se hai utilizzato lo schema
.*?Exception in thread.* (che utilizza un quantificatore riluttante), il risultato
essere di soli 55 passi.
Impatto
Utilizzo di quantificatori greedy come caratteri jolly (*) con
Il criterio RegularExpressionProtection può causare:
- Un aumento della latenza complessiva per le richieste API per una dimensione del payload moderata (fino a 1 MB)
- Tempi più lunghi per completare l'esecuzione del criterio RegularExpressionProtection
- Richieste API con payload di grandi dimensioni (>1 MB) che non superano il controllo e restituiscono 504 errori di timeout del gateway se scade il periodo di timeout predefinito sul router perimetrale
- Elevato utilizzo della CPU nei processori di messaggi a causa dell'elevata quantità di elaborazione che può ulteriormente influire su altre richieste API
Best practice
- Evita di utilizzare quantificatori avidi come
.*nelle espressioni regolari con la macro Criterio RegularExpressionProtection. Usa invece quantificatori riluttanti come.*?o quantificatori possessivi come.*+(meno comunemente) ovunque possibile.