Criterio JSONThreatProtection

Stai visualizzando la documentazione di Apigee Edge.
Vai alla sezione Documentazione di Apigee X.
Informazioni

Cosa

Riduce al minimo il rischio degli attacchi a livello di contenuti consentendo di specificare limiti per vari Strutture JSON, come array e stringhe.

Video: guarda un breve video per ulteriori informazioni su come la Il criterio JSONThreatProtection consente di proteggere le API da attacchi a livello di contenuto.

Video: guarda questo breve video sulla piattaforma API cross-cloud Apigee.

Riferimento elemento

Il riferimento all'elemento descrive gli elementi e gli attributi della protezione JSONThreatProtection .

<JSONThreatProtection async="false" continueOnError="false" enabled="true" name="JSON-Threat-Protection-1">
   <DisplayName>JSONThreatProtection 1</DisplayName>
   <ArrayElementCount>20</ArrayElementCount>
   <ContainerDepth>10</ContainerDepth>
   <ObjectEntryCount>15</ObjectEntryCount>
   <ObjectEntryNameLength>50</ObjectEntryNameLength>
   <Source>request</Source>
   <StringValueLength>500</StringValueLength>
</JSONThreatProtection>

&lt;JSONThreatProtection&gt; attributi

<JSONThreatProtection async="false" continueOnError="false" enabled="true" name="JSON-Threat-Protection-1"> 

La tabella seguente descrive gli attributi comuni a tutti gli elementi principali del criterio:

Attributo Descrizione Predefinito Presenza
name

Il nome interno del criterio. Il valore dell'attributo name può Deve contenere lettere, numeri, spazi, trattini, trattini bassi e punti. Questo valore non può superare i 255 caratteri.

Se vuoi, puoi utilizzare l'elemento <DisplayName> per etichettare il criterio in l'editor proxy della UI di gestione con un nome diverso in linguaggio naturale.

N/D Obbligatorio
continueOnError

Imposta il valore su false per restituire un errore quando un criterio non viene eseguito. Si tratta di un comportamento previsto per la maggior parte dei criteri.

Imposta su true per fare in modo che l'esecuzione del flusso continui anche dopo un criterio non riesce.

falso Facoltativo
enabled

Imposta il valore su true per applicare il criterio.

Imposta false per disattivare il criterio. Il criterio non verrà applicata anche se rimane collegata a un flusso.

true Facoltativo
async

Questo attributo è obsoleto.

falso Deprecato

&lt;DisplayName&gt; elemento

Da utilizzare in aggiunta all'attributo name per etichettare il criterio in editor proxy della UI di gestione con un nome diverso e in linguaggio naturale.

<DisplayName>Policy Display Name</DisplayName>
Predefinito

N/D

Se ometti questo elemento, il valore dell'attributo name del criterio è in uso.

Presenza Facoltativo
Tipo Stringa

&lt;ArrayElementCount&gt; elemento

Specifica il numero massimo di elementi consentiti in un array.

<ArrayElementCount>20</ArrayElementCount>
Predefinita: Se non specifichi questo elemento o se indichi un numero intero negativo, il sistema non applica un limite.
Presenza: Facoltativo
Tipo: Numero intero

&lt;ContainerDepth&gt; elemento

Specifica la profondità di contenimento massima consentita, in cui i container sono oggetti o array. Ad esempio, un array contenente un oggetto che contiene un oggetto comporterebbe un contenimento profondità 3.

<ContainerDepth>10</ContainerDepth>
Predefinita: Se non specifichi questo elemento o se indichi un numero intero negativo, il sistema non applica alcun limite.
Presenza: Facoltativo
Tipo: Numero intero

&lt;ObjectEntryCount&gt; elemento

Specifica il numero massimo di voci consentite in un oggetto.

<ObjectEntryCount>15</ObjectEntryCount>
Predefinita: Se non specifichi questo elemento o se indichi un numero intero negativo, il sistema non applica alcun limite.
Presenza: Facoltativo
Tipo: Numero intero

&lt;ObjectEntryNameLength&gt; elemento

Specifica la lunghezza massima della stringa consentita per il nome di una proprietà all'interno di un oggetto.

<ObjectEntryNameLength>50</ObjectEntryNameLength>
Predefinita: Se non specifichi questo elemento o se indichi un numero intero negativo, il sistema non applica un limite.
Presenza: Facoltativo
Tipo: Numero intero

&lt;Source&gt; elemento

Messaggio da verificare per gli attacchi di payload JSON. Il valore generalmente impostato è request, poiché in genere occorre convalidare le richieste in entrata provenienti dalle app client. Se impostato su message, questo elemento valuterà automaticamente il messaggio di richiesta quando allegato al flusso della richiesta e il messaggio di risposta quando allegato alla risposta flusso di lavoro.

<Source>request</Source>
Predefinita: richiesta
Presenza: Facoltativo
Tipo:

Stringa.

Valori validi: richiesta, risposta o messaggio.

&lt;StringValueLength&gt; elemento

Specifica la lunghezza massima consentita per un valore stringa.

<StringValueLength>500</StringValueLength>
Predefinita: Se non specifichi questo elemento o se indichi un numero intero negativo, il sistema non applica un limite.
Presenza: Facoltativo
Tipo: Numero intero

Messaggi di errore

Questa sezione descrive i codici e i messaggi di errore restituiti, nonché le variabili di errore impostate da Edge quando questo criterio attiva un errore. È importante sapere se stai sviluppando regole di errore per per gestire gli errori. Per saperne di più, consulta Cosa devi sapere sugli errori relativi ai criteri e sulla gestione di errore.

Errori di runtime

Questi errori possono verificarsi quando il criterio viene eseguito.

Codice di errore Stato HTTP Causa Correggi
steps.jsonthreatprotection.ExecutionFailed 500 Il criterio JSONThreatProtection può generare molti tipi diversi di errori ExecutionFailed. La maggior parte di questi errori si verifica quando viene superata una soglia specifica impostata nel criterio. Questi tipi di errori includono: lunghezza del nome dell'elemento, conteggio delle voci di oggetto, numero di elementi array, profondità del container, lunghezza valore stringa stringa. Questo errore si verifica anche quando il payload contiene un oggetto JSON non valido.
steps.jsonthreatprotection.SourceUnavailable 500 Questo errore si verifica se il messaggio specificata nell'elemento <Source> è:
  • Fuori ambito (non disponibile nel flusso specifico in cui viene eseguito il criterio)
  • Non è uno dei valori validi request, response, o message
steps.jsonthreatprotection.NonMessageVariable 500 Questo errore si verifica se l'elemento <Source> è impostato su una variabile che non è di tipo messaggio.

Errori di deployment

Nessuno.

Variabili di errore

Queste variabili vengono impostate quando il criterio attiva un errore. Per ulteriori informazioni, vedi Cosa devi sapere sugli errori relativi alle norme.

Variabili Dove Esempio
fault.name="fault_name" fault_name è il nome dell'errore, come elencato nella precedente tabella Errori di runtime. Il nome dell'errore è l'ultima parte del codice di errore. fault.name Matches "SourceUnavailable"
jsonattack.policy_name.failed policy_name è il nome specificato dall'utente del criterio che ha generato l'errore. jsonattack.JTP-SecureRequest.failed = true

Esempio di risposta di errore

{
  "fault": {
    "faultstring": "JSONThreatProtection[JPT-SecureRequest]: Execution failed. reason: JSONThreatProtection[JTP-SecureRequest]: Exceeded object entry name length at line 2",
    "detail": {
      "errorcode": "steps.jsonthreatprotection.ExecutionFailed"
    }
  }
}

Esempio di regola di errore

<FaultRule name="JSONThreatProtection Policy Faults">
    <Step>
        <Name>AM-CustomErrorResponse</Name>
        <Condition>(fault.name Matches "ExecutionFailed") </Condition>
    </Step>
    <Condition>(jsonattack.JPT-SecureRequest.failed = true) </Condition>
</FaultRule>

Schemi

Note sull'utilizzo

Come i servizi basati su XML, le API che supportano JSON (JavaScript Object Notation) sono vulnerabili alle attacchi a livello di contenuto. Semplici attacchi JSON tentano di utilizzare strutture che sovraccaricano i parser JSON per arrestare un servizio e indurre attacchi denial-of-service a livello di applicazione. Tutte le impostazioni sono facoltativa e deve essere ottimizzata per ottimizzare i requisiti dei servizi rispetto le vulnerabilità.

Argomenti correlati

Criteri di JSONtoXML

Criterio XMLThreatProtection

Criterio RegularExpressionProtection