JSONज़्यादा सुरक्षा की नीति

आपको Apigee Edge दस्तावेज़ दिख रहा है.
अभी तक किसी भी व्यक्ति ने चेक इन नहीं किया है इस पेज पर जाएं Apigee X दस्तावेज़. जानकारी

क्या

अलग-अलग तरह के हमलों की सीमाएं तय करके, कॉन्टेंट लेवल के हमलों से पैदा होने वाले जोखिम को कम किया जाता है JSON स्ट्रक्चर, जैसे कि कलेक्शन और स्ट्रिंग.

वीडियो: यह छोटा सा वीडियो देखें कि JSONHTMLProtection की नीति का इस्तेमाल करके, कॉन्टेंट लेवल के हमलों से एपीआई को सुरक्षित किया जा सकता है.

वीडियो: Apigee क्रॉस-क्लाउड एपीआई प्लैटफ़ॉर्म पर यह छोटा वीडियो देखें.

एलिमेंट का रेफ़रंस

एलिमेंट के रेफ़रंस में, JSONTheProtection के एलिमेंट और एट्रिब्यूट के बारे में जानकारी दी गई है की नीति देखें.

<JSONThreatProtection async="false" continueOnError="false" enabled="true" name="JSON-Threat-Protection-1">
   <DisplayName>JSONThreatProtection 1</DisplayName>
   <ArrayElementCount>20</ArrayElementCount>
   <ContainerDepth>10</ContainerDepth>
   <ObjectEntryCount>15</ObjectEntryCount>
   <ObjectEntryNameLength>50</ObjectEntryNameLength>
   <Source>request</Source>
   <StringValueLength>500</StringValueLength>
</JSONThreatProtection>

&lt;JSONThreatProtection&gt; एट्रिब्यूट

<JSONThreatProtection async="false" continueOnError="false" enabled="true" name="JSON-Threat-Protection-1">

यहां दी गई टेबल में, ऐसे एट्रिब्यूट के बारे में बताया गया है जो नीति के सभी पैरंट एलिमेंट में एक जैसे होते हैं:

एट्रिब्यूट ब्यौरा डिफ़ॉल्ट मौजूदगी
name

नीति का अंदरूनी नाम. name एट्रिब्यूट की वैल्यू ये काम कर सकती है: अक्षरों, संख्याओं, स्पेस, हाइफ़न, अंडरस्कोर, और फ़ुलस्टॉप को शामिल करें. यह मान नहीं हो सकता 255 वर्णों से ज़्यादा होने चाहिए.

इसके अलावा, नीति को लेबल करने के लिए, <DisplayName> एलिमेंट का इस्तेमाल करें प्रबंधन यूज़र इंटरफ़ेस (यूआई) प्रॉक्सी एडिटर को अलग, आम भाषा में इस्तेमाल करने वाले नाम के साथ किया जा सकता है.

 लागू नहीं ज़रूरी है
continueOnError

किसी नीति के काम न करने पर, गड़बड़ी दिखाने के लिए false पर सेट करें. यह उम्मीद है व्यवहार की जानकारी देने वाला डेटा.

नीति के लागू होने के बाद भी फ़्लो को एक्ज़ीक्यूट करने के लिए, इसे true पर सेट करें विफल होता है.

 गलत वैकल्पिक
enabled

नीति को लागू करने के लिए, true पर सेट करें.

नीति को बंद करने के लिए, false पर सेट करें. नीति लागू किया जाता है, भले ही वह किसी फ़्लो से जुड़ा रहता हो.

 सही वैकल्पिक
async

यह एट्रिब्यूट अब काम नहीं करता.

 गलत बहिष्कृत

&lt;DisplayName&gt; एलिमेंट

इस कॉलम में नीति को लेबल करने के लिए, name एट्रिब्यूट के साथ-साथ इस्तेमाल करें मैनेजमेंट यूज़र इंटरफ़ेस (यूआई) प्रॉक्सी एडिटर, जिसका नाम अलग और सामान्य भाषा में है.

<DisplayName>Policy Display Name</DisplayName>
डिफ़ॉल्ट

लागू नहीं

अगर आप इस एलिमेंट को छोड़ देते हैं, तो नीति की name एट्रिब्यूट की वैल्यू यह होगी इस्तेमाल किया गया.
मौजूदगी वैकल्पिक
टाइप स्ट्रिंग

&lt;ArrayElementCount&gt; एलिमेंट

यह बताता है कि किसी अरे में ज़्यादा से ज़्यादा कितने एलिमेंट जोड़े जा सकते हैं.

<ArrayElementCount>20</ArrayElementCount>
डिफ़ॉल्ट: अगर आप इस एलिमेंट को तय नहीं करते या अगर आप नेगेटिव पूर्णांक तय करते हैं, तो सिस्टम किसी सीमा को लागू नहीं करता.
मौजूदगी: वैकल्पिक
टाइप: पूर्णांक

&lt;ContainerDepth&gt; एलिमेंट

इससे, कंटेनमेंट की ज़्यादा से ज़्यादा गहराई की जानकारी मिलती है, जिसमें कंटेनर, ऑब्जेक्ट या अरे होते हैं. उदाहरण के लिए, अगर किसी ऑब्जेक्ट में एक ऑब्जेक्ट है, तो उस अरे के नतीजे में कंटेनमेंट होगा गहराई 3.

<ContainerDepth>10</ContainerDepth>
डिफ़ॉल्ट: अगर आप इस एलिमेंट को तय नहीं करते या अगर आप नेगेटिव पूर्णांक तय करते हैं, तो सिस्टम किसी सीमा को लागू नहीं करता.
मौजूदगी: वैकल्पिक
टाइप: पूर्णांक

&lt;ObjectEntryCount&gt; एलिमेंट

इससे पता चलता है कि किसी ऑब्जेक्ट में ज़्यादा से ज़्यादा कितनी एंट्री हो सकती हैं.

<ObjectEntryCount>15</ObjectEntryCount>
डिफ़ॉल्ट: अगर आप इस एलिमेंट को तय नहीं करते या अगर आप नेगेटिव पूर्णांक तय करते हैं, तो सिस्टम किसी सीमा को लागू नहीं करता.
मौजूदगी: वैकल्पिक
टाइप: पूर्णांक

&lt;ObjectEntryNameLength&gt; एलिमेंट

इससे पता चलता है कि किसी ऑब्जेक्ट में प्रॉपर्टी का नाम, स्ट्रिंग की ज़्यादा से ज़्यादा कितनी लंबाई हो सकती है.

<ObjectEntryNameLength>50</ObjectEntryNameLength>
डिफ़ॉल्ट: अगर आप इस एलिमेंट को तय नहीं करते या अगर आप नेगेटिव पूर्णांक तय करते हैं, तो सिस्टम किसी सीमा को लागू नहीं करता.
मौजूदगी: वैकल्पिक
टाइप: पूर्णांक

&lt;Source&gt; एलिमेंट

JSON पेलोड हमलों की जांच के लिए मैसेज. अक्सर यह इस पर सेट किया जाता है: request, क्योंकि आपको आम तौर पर क्लाइंट ऐप्लिकेशन से मिलने वाले इनबाउंड अनुरोधों की पुष्टि करनी होगी. message पर सेट करने पर, यह एलिमेंट अपने-आप अनुरोध वाले मैसेज की जांच करेगा अनुरोध के साथ अटैच किए जाने पर. साथ ही, जवाब के साथ अटैच होने पर, फ़्लो.

<Source>request</Source>
डिफ़ॉल्ट: CANNOT TRANSLATE
मौजूदगी: वैकल्पिक
टाइप:

स्ट्रिंग.

मान्य वैल्यू: अनुरोध, जवाब या मैसेज.

&lt;StringValueLength&gt; एलिमेंट

यह बताता है कि स्ट्रिंग की वैल्यू ज़्यादा से ज़्यादा कितनी लंबी हो सकती है.

<StringValueLength>500</StringValueLength>
डिफ़ॉल्ट: अगर आप इस एलिमेंट को तय नहीं करते या अगर आप नेगेटिव पूर्णांक तय करते हैं, तो सिस्टम किसी सीमा को लागू नहीं करता.
मौजूदगी: वैकल्पिक
टाइप: पूर्णांक

गड़बड़ी का रेफ़रंस

This section describes the fault codes and error messages that are returned and fault variables that are set by Edge when this policy triggers an error. This information is important to know if you are developing fault rules to handle faults. To learn more, see What you need to know about policy errors and Handling faults.

Runtime errors

These errors can occur when the policy executes.

Fault code HTTP status Cause Fix
steps.jsonthreatprotection.ExecutionFailed 500 The JSONThreatProtection policy can throw many different types of ExecutionFailed errors. Most of these errors occur when a specific threshold set in the policy is exceeded. These types of errors include: object entry name length, object entry count, array element count, container depth, string string value length. This error also occurs when the payload contains an invalid JSON object.
steps.jsonthreatprotection.SourceUnavailable 500 This error occurs if the message variable specified in the <Source> element is either:
  • Out of scope (not available in the specific flow where the policy is being executed)
  • Is not one of the valid values request, response, or message
steps.jsonthreatprotection.NonMessageVariable 500 This error occurs if the <Source> element is set to a variable which is not of type message.

Deployment errors

None.

Fault variables

These variables are set when this policy triggers an error. For more information, see What you need to know about policy errors.

Variables Where Example
fault.name="fault_name" fault_name is the name of the fault, as listed in the Runtime errors table above. The fault name is the last part of the fault code. fault.name Matches "SourceUnavailable"
jsonattack.policy_name.failed policy_name is the user-specified name of the policy that threw the fault. jsonattack.JTP-SecureRequest.failed = true

Example error response

{
  "fault": {
    "faultstring": "JSONThreatProtection[JPT-SecureRequest]: Execution failed. reason: JSONThreatProtection[JTP-SecureRequest]: Exceeded object entry name length at line 2",
    "detail": {
      "errorcode": "steps.jsonthreatprotection.ExecutionFailed"
    }
  }
}

Example fault rule

<FaultRule name="JSONThreatProtection Policy Faults">
    <Step>
        <Name>AM-CustomErrorResponse</Name>
        <Condition>(fault.name Matches "ExecutionFailed") </Condition>
    </Step>
    <Condition>(jsonattack.JPT-SecureRequest.failed = true) </Condition>
</FaultRule>

स्कीमा

इस्तेमाल की जानकारी

एक्सएमएल पर आधारित सेवाओं की तरह, JavaScript ऑब्जेक्ट नोटेशन (JSON) के साथ काम करने वाले एपीआई हमले को बढ़ावा दिया गया हो. JSON पर आसानी से होने वाले हमले, ऐसे स्ट्रक्चर का इस्तेमाल करने की कोशिश करते हैं जो बहुत ज़्यादा JSON पार्सर पर असर डालते हैं का इस्तेमाल किया जा सकता है. सभी सेटिंग यह ज़रूरी नहीं है. साथ ही, इसे आपकी सेवा की ज़रूरतों को पूरा करने के लिए बनाया जाना चाहिए. जोखिम की आशंकाएं.

मिलते-जुलते विषय

JSONtoXML नीति

XMLStarProtection की नीति

regularexpressionProtection की नीति