سياسة JSONThreatProtection

أنت تعرض مستندات Apigee Edge.
انتقل إلى مستندات Apigee X. معلومات

المزايا

تقلِّل من المخاطر التي تشكِّلها الهجمات على مستوى المحتوى من خلال السماح لك بتحديد الحدود على العديد من أنواع الهجمات بُنى JSON، مثل الصفائف والسلاسل

فيديو: يمكنك مشاهدة فيديو قصير لمعرفة المزيد عن كيفية تتيح لك سياسة JSONThreatProtection تأمين واجهات برمجة التطبيقات ضد الهجمات على مستوى المحتوى.

الفيديو: يمكنك مشاهدة هذا الفيديو القصير حول منصة Apigee cross-cloud API.

مرجع العنصر

يصف مرجع العنصر عناصر وسمات JSONThreatProtection .

<JSONThreatProtection async="false" continueOnError="false" enabled="true" name="JSON-Threat-Protection-1">
   <DisplayName>JSONThreatProtection 1</DisplayName>
   <ArrayElementCount>20</ArrayElementCount>
   <ContainerDepth>10</ContainerDepth>
   <ObjectEntryCount>15</ObjectEntryCount>
   <ObjectEntryNameLength>50</ObjectEntryNameLength>
   <Source>request</Source>
   <StringValueLength>500</StringValueLength>
</JSONThreatProtection>

&lt;JSONThreatProtection&gt; السمات

<JSONThreatProtection async="false" continueOnError="false" enabled="true" name="JSON-Threat-Protection-1">

يصف الجدول التالي السمات المشتركة بين جميع العناصر الرئيسية للسياسة:

السمة الوصف تلقائي التواجد في المنزل
name

الاسم الداخلي للسياسة. يمكن لقيمة السمة name أن تحتوي على أحرف وأرقام ومسافات وواصلات وشرطات سفلية ونقاط. لا يمكن لهذه القيمة يتجاوز 255 حرفًا.

يمكنك، إذا أردت، استخدام العنصر <DisplayName> لتصنيف السياسة محرر الخادم الوكيل لواجهة مستخدم الإدارة باسم مختلف بلغة طبيعية.

 لا ينطبق مطلوب
continueOnError

اضبط القيمة على false لعرض رسالة خطأ عند تعذُّر تنفيذ سياسة. هذا متوقّع السلوك في معظم السياسات.

يمكنك ضبط القيمة على true لمواصلة تنفيذ المسار حتى بعد تطبيق إحدى السياسات. فشل.

 خطأ اختياري
enabled

اضبط القيمة على true لفرض السياسة.

اضبط القيمة على false من أجل إيقاف السياسة. لن تكون السياسة ويتم فرضها حتى لو ظلت مرتبطة بتدفق.

 صحيح اختياري
async

تم إيقاف هذه السمة نهائيًا.

 خطأ منهي العمل به

&lt;DisplayName&gt; عنصر

استخدِمه مع السمة name لتصنيف السياسة في إدارة خادم وكيل لواجهة المستخدم باسم مختلف بلغة طبيعية.

<DisplayName>Policy Display Name</DisplayName>
تلقائي

لا ينطبق

إذا لم تستخدم هذا العنصر، سيتم ضبط قيمة السمة name للسياسة على النحو التالي: استخدام البيانات المختلفة.
التواجد في المنزل اختياري
النوع سلسلة

&lt;ArrayElementCount&gt; عنصر

تحدّد هذه السياسة الحد الأقصى لعدد العناصر المسموح بها في المصفوفة.

<ArrayElementCount>20</ArrayElementCount>
الإعداد التلقائي: إذا لم تحدد هذا العنصر، أو إذا حددت عددًا صحيحًا سالبًا، فسيستخدم النظام ولا يفرض حدًا.
الحضور: اختياري
النوع: عدد صحيح

&lt;ContainerDepth&gt; عنصر

تُحدِّد هذه السياسة الحدّ الأقصى لعمق الاحتواء المسموح به، حيث تكون الحاويات عبارة عن كائنات أو مصفوفات. على سبيل المثال، قد ينتج عن الصفيف الذي يحتوي على كائن يحتوي على كائن احتواء عمق 3.

<ContainerDepth>10</ContainerDepth>
الإعداد التلقائي: إذا لم تحدد هذا العنصر، أو إذا حددت عددًا صحيحًا سالبًا، فسيستخدم النظام لا يفرض أي حد.
الحضور: اختياري
النوع: عدد صحيح

&lt;ObjectEntryCount&gt; عنصر

تُحدِّد هذه السياسة الحد الأقصى لعدد الإدخالات المسموح بها في العنصر.

<ObjectEntryCount>15</ObjectEntryCount>
الإعداد التلقائي: إذا لم تحدد هذا العنصر، أو إذا حددت عددًا صحيحًا سالبًا، فسيستخدم النظام لا يفرض أي حد.
الحضور: اختياري
النوع: عدد صحيح

&lt;ObjectEntryNameLength&gt; عنصر

تُحدِّد الحد الأقصى لطول السلسلة المسموح به لاسم السمة داخل كائن.

<ObjectEntryNameLength>50</ObjectEntryNameLength>
الإعداد التلقائي: إذا لم تحدد هذا العنصر، أو إذا حددت عددًا صحيحًا سالبًا، فسيستخدم النظام ولا يفرض حدًا.
الحضور: اختياري
النوع: عدد صحيح

&lt;Source&gt; عنصر

الرسالة التي سيتم فحصها بحثًا عن هجمات حمولة JSON. يتم تعيين هذا بشكل شائع على request، إذ يجب عادةً التحقّق من صحة الطلبات الواردة من تطبيقات العميل. عند ضبط هذا العنصر على message، سيقيّم هذا العنصر تلقائيًا رسالة الطلب. عندما يكون مرتبطًا بتدفق الطلب ورسالة الردّ عندما يكون مرفقًا بالردّ التدفق.

<Source>request</Source>
الإعداد التلقائي: طلب
الحضور: اختياري
النوع:

سلسلة.

القيم الصالحة: الطلب أو الاستجابة أو الرسالة

&lt;StringValueLength&gt; عنصر

تُحدِّد الحد الأقصى للطول المسموح به لقيمة سلسلة.

<StringValueLength>500</StringValueLength>
الإعداد التلقائي: إذا لم تحدد هذا العنصر، أو إذا حددت عددًا صحيحًا سالبًا، فسيستخدم النظام ولا يفرض حدًا.
الحضور: اختياري
النوع: عدد صحيح

مرجع الخطأ

This section describes the fault codes and error messages that are returned and fault variables that are set by Edge when this policy triggers an error. This information is important to know if you are developing fault rules to handle faults. To learn more, see What you need to know about policy errors and Handling faults.

Runtime errors

These errors can occur when the policy executes.

Fault code HTTP status Cause Fix
steps.jsonthreatprotection.ExecutionFailed 500 The JSONThreatProtection policy can throw many different types of ExecutionFailed errors. Most of these errors occur when a specific threshold set in the policy is exceeded. These types of errors include: object entry name length, object entry count, array element count, container depth, string string value length. This error also occurs when the payload contains an invalid JSON object.
steps.jsonthreatprotection.SourceUnavailable 500 This error occurs if the message variable specified in the <Source> element is either:
  • Out of scope (not available in the specific flow where the policy is being executed)
  • Is not one of the valid values request, response, or message
steps.jsonthreatprotection.NonMessageVariable 500 This error occurs if the <Source> element is set to a variable which is not of type message.

Deployment errors

None.

Fault variables

These variables are set when this policy triggers an error. For more information, see What you need to know about policy errors.

Variables Where Example
fault.name="fault_name" fault_name is the name of the fault, as listed in the Runtime errors table above. The fault name is the last part of the fault code. fault.name Matches "SourceUnavailable"
jsonattack.policy_name.failed policy_name is the user-specified name of the policy that threw the fault. jsonattack.JTP-SecureRequest.failed = true

Example error response

{
  "fault": {
    "faultstring": "JSONThreatProtection[JPT-SecureRequest]: Execution failed. reason: JSONThreatProtection[JTP-SecureRequest]: Exceeded object entry name length at line 2",
    "detail": {
      "errorcode": "steps.jsonthreatprotection.ExecutionFailed"
    }
  }
}

Example fault rule

<FaultRule name="JSONThreatProtection Policy Faults">
    <Step>
        <Name>AM-CustomErrorResponse</Name>
        <Condition>(fault.name Matches "ExecutionFailed") </Condition>
    </Step>
    <Condition>(jsonattack.JPT-SecureRequest.failed = true) </Condition>
</FaultRule>

المخططات

ملاحظات الاستخدام

مثل الخدمات المستندة إلى XML، تكون واجهات برمجة التطبيقات التي تتيح تدوين كائن JavaScript (JSON) عرضة للاختراق والهجمات على مستوى المحتوى. تحاول هجمات JSON البسيطة استخدام بُنى تربك أدوات تحليل JSON. تعطيل إحدى الخدمات وإحداث هجمات الحرمان من الخدمات على مستوى التطبيق. جميع الإعدادات كما هي اختيارية ويجب ضبطها لتحسين متطلبات الخدمة مقابل العملاء الثغرات الأمنية.

مواضيع ذات صلة

سياسة JSONtoXML

سياسة XMLThreatProtection

سياسة Primary ExpressionProtection