Antywzór: nieprawidłowy dostęp do wielowartościowych nagłówków HTTP w serwerze proxy interfejsu API

Przeglądasz dokumentację Apigee Edge.
Otwórz dokumentację Apigee X. Informacje

Nagłówki HTTP to pary wartości nazw, które umożliwiają aplikacjom klienckim i usługom backendu przekazywanie dodatkowych informacji odpowiednio o żądaniach i odpowiedziach. Oto kilka prostych przykładów:

• Nagłówek żądania autoryzacji przekazuje dane logowania użytkownika na serwer:

  Authorization: Basic YWxhZGRpbjpvcGVuc2VzYW1l

• Nagłówek Content-Type wskazuje typ wysyłanej treści żądania lub odpowiedzi:

  Content-Type: application/json

Nagłówki HTTP mogą mieć jedną lub więcej wartości w zależności od definicji pól nagłówka. Nagłówek wielowartościowy będzie zawierał wartości rozdzielone przecinkami. Oto kilka przykładów nagłówków zawierających kilka wartości:

• Cache-Control: no-cache, no-store, must-revalidate
• Accept: text/html, application/xhtml+xml, application/xml;q=0.9, */*;q=0.8
• X-Forwarded-For: 10.125.5.30, 10.125.9.125

Apigee Edge umożliwia programistom łatwy dostęp do nagłówków za pomocą zmiennych przepływu w dowolnych zasadach brzegowych lub przepływach warunkowych. Oto lista zmiennych, za pomocą których można uzyskać dostęp do określonego nagłówka żądania lub odpowiedzi w Edge:

Zmienne przepływu:

• message.header.header-name
• request.header.header-name
• response.header.header-name
• message.header.header-name.N
• request.header.header-name.N
• response.header.header-name.N

Obiekty JavaScript:

• context.proxyRequest.headers.header-name
• context.targetRequest.headers.header-name
• context.proxyResponse.headers.header-name
• context.targetResponse.headers.header-name

Oto przykładowa zasada AssignMessage, która pokazuje, jak odczytać wartość nagłówka żądania i zapisać ją w zmiennej:

<AssignMessage continueOnError="false" enabled="true" name="assign-message-default">
  <AssignVariable>
    <Name>reqUserAgent</Name>
    <Ref>request.header.User-Agent</Ref>
  </AssignVariable>
</AssignMessage>

Antywzór

Dostęp do wartości nagłówków HTTP w zasadach Edge w sposób, który zwraca tylko pierwszą wartość, jest nieprawidłowy i może powodować problemy, jeśli określone nagłówki HTTP mają więcej niż 1 wartość.

Poniższe sekcje zawierają przykłady dostępu z nagłówka.

Przykład 1. Odczytywanie wielowartościowego nagłówka Accept za pomocą kodu JavaScript

Pamiętaj, że nagłówek Accept ma wiele wartości, tak jak w tym przykładzie:

Accept: text/html, application/xhtml+xml, application/xml

Oto kod JavaScript, który odczytuje wartość z nagłówka Accept:

// Read the values from Accept header
var acceptHeaderValues = context.getVariable("request.header.Accept");

Powyższy kod JavaScript zwraca tylko pierwszą wartość z nagłówka Accept, np. text/html.

Przykład 2. Odczytywanie wielowartościowego nagłówka Access-Control-Allow-Headers w zasadzie AssignMessage lub BeyondFault

Pamiętaj, że nagłówek Access-Control-Allow-Headers ma wiele wartości, tak jak w tym przykładzie:

Access-Control-Allow-Headers: content-type, authorization

Oto część kodu z zasady AssignMessage lub romotingFault w ustawieniu nagłówka Access-Control-Allow-Headers:

<Set>
  <Headers>
    <Header name="Access-Control-Allow-Headers">{request.header.Access-Control-Request-Headers}</Header>
  </Headers>
</Set>

Powyższy kod ustawia nagłówek Access-Control-Allow-Headers z tylko pierwszą wartością z nagłówka żądania Access-Control-Allow-Headers, w tym przykładzie content-type.

Wpływ

1. W obu powyższych przykładach zwracana jest tylko pierwsza wartość z nagłówków wielowartościowych. Jeśli te wartości są później używane przez inną zasadę w przepływie proxy interfejsu API lub przez usługę backendu do wykonania jakiejś funkcji lub logiki, może to doprowadzić do nieoczekiwanych wyników.
2. Gdy wartości nagłówków żądań są uzyskiwane i przekazywane do serwera docelowego, żądania do interfejsu API mogą być nieprawidłowo przetwarzane przez backend, co może skutkować generowaniem nieprawidłowych wyników.
3. Jeśli aplikacja kliencka jest zależna od konkretnych wartości nagłówków z odpowiedzi Edge, może też przetwarzać się nieprawidłowo i podawać nieprawidłowe wyniki.

Sprawdzona metoda

1. Użyj odpowiednich wbudowanych zmiennych przepływu: request.header.header_name.values.count, request.header.header_name.N, response.header.header_name.values.count, response.header.header_name.N.

   Następnie powtórz te czynności, aby pobrać wszystkie wartości z określonego nagłówka w zasadach dotyczących objaśnień w języku JavaScript lub Java.

   Przykład: przykładowy kod JavaScript do odczytu nagłówka wielowartościowego

   for (var i = 1; i <=context.getVariable('request.header.Accept.values.count'); i++)
   {
     print(context.getVariable('request.header.Accept.' + i));
   }
   

   Na przykład application/xml;q=0.9, */*;q=0.8 pojawi się jako jedna wartość z powyższym kodem.

   Jeśli wartości w nagłówkach musisz podzielić na średniki jako separator, użyj operatora string.split(";"), by rozdzielić je na wartości.

2. Użyj funkcji substring() w zmiennej przepływu request.header.header_name.values w zasadzie MoveFault lub AssignMessage, aby odczytywać wszystkie wartości określonego nagłówka.

   Przykład: Sample FoundFault lub AssignMessage Policy (w języku angielskim) do odczytu nagłówka wielowartościowego

   <Set>
     <Headers>
      <Header name="Access-Control-Allow-Headers">{substring(request.header.Access-Control-Request-Headers.values,1,-1)}</Header>
     </Headers>
   </Set>
   

Więcej informacji

• Jak obsługiwać nagłówki z wieloma wartościami w JavaScript?
• Lista pól nagłówka HTTP
• Zmienne żądań i odpowiedzi
• Zmienne przepływu