Anda sedang melihat dokumentasi Apigee Edge.
Buka
Dokumentasi Apigee X. info
Apa
Meminimalkan risiko yang ditimbulkan oleh serangan tingkat konten dengan memungkinkan Anda menentukan batas di berbagai Struktur JSON, seperti array dan string.
Video: Tonton video singkat untuk mempelajari lebih lanjut Kebijakan JSONThreatProtection memungkinkan Anda mengamankan API dari serangan tingkat konten.
Video: Tonton video singkat ini tentang platform API lintas-cloud Apigee.
Referensi elemen
Referensi elemen menjelaskan elemen dan atribut JSONThreatProtection lebih lanjut.
<JSONThreatProtection async="false" continueOnError="false" enabled="true" name="JSON-Threat-Protection-1"> <DisplayName>JSONThreatProtection 1</DisplayName> <ArrayElementCount>20</ArrayElementCount> <ContainerDepth>10</ContainerDepth> <ObjectEntryCount>15</ObjectEntryCount> <ObjectEntryNameLength>50</ObjectEntryNameLength> <Source>request</Source> <StringValueLength>500</StringValueLength> </JSONThreatProtection>
<JSONThreatProtection> atribut
<JSONThreatProtection async="false" continueOnError="false" enabled="true" name="JSON-Threat-Protection-1">
Tabel berikut menjelaskan atribut yang umum untuk semua elemen induk kebijakan:
| Atribut | Deskripsi | Default | Ketersediaan |
|---|---|---|---|
name |
Nama internal kebijakan. Nilai atribut Secara opsional, gunakan elemen |
T/A | Wajib |
continueOnError |
Tetapkan ke Setel ke |
salah | Opsional |
enabled |
Setel ke Setel ke |
true | Opsional |
async |
Atribut ini tidak digunakan lagi. |
salah | Tidak digunakan lagi |
<DisplayName> elemen
Gunakan selain atribut name untuk memberi label kebijakan di
editor proxy UI dengan nama natural language yang berbeda.
<DisplayName>Policy Display Name</DisplayName>
| Default |
T/A Jika Anda menghapus elemen ini, nilai atribut |
|---|---|
| Ketersediaan | Opsional |
| Jenis | String |
<ArrayElementCount> elemen
Menentukan jumlah maksimum elemen yang diizinkan dalam array.
<ArrayElementCount>20</ArrayElementCount>
| Default: | Jika Anda tidak menetapkan elemen ini, atau jika Anda menetapkan bilangan bulat negatif, sistem akan tidak menerapkan batas. |
| Kehadiran: | Opsional |
| Jenis: | Bilangan Bulat |
<ContainerDepth> elemen
Menentukan kedalaman pembatasan maksimum yang diizinkan, dengan container berupa objek atau array. Misalnya, array yang berisi objek yang berisi suatu objek akan menghasilkan pembatasan kedalaman 3.
<ContainerDepth>10</ContainerDepth>
| Default: | Jika Anda tidak menetapkan elemen ini, atau jika Anda menetapkan bilangan bulat negatif, sistem akan tidak memberlakukan batasan apa pun. |
| Kehadiran: | Opsional |
| Jenis: | Bilangan Bulat |
<ObjectEntryCount> elemen
Menentukan jumlah maksimum entri yang diizinkan dalam objek.
<ObjectEntryCount>15</ObjectEntryCount>
| Default: | Jika Anda tidak menetapkan elemen ini, atau jika Anda menetapkan bilangan bulat negatif, sistem akan tidak memberlakukan batasan apa pun. |
| Kehadiran: | Opsional |
| Jenis: | Bilangan Bulat |
<ObjectEntryNameLength> elemen
Menentukan panjang string maksimum yang diizinkan untuk nama properti dalam objek.
<ObjectEntryNameLength>50</ObjectEntryNameLength>
| Default: | Jika Anda tidak menetapkan elemen ini, atau jika Anda menetapkan bilangan bulat negatif, sistem akan tidak menerapkan batas. |
| Kehadiran: | Opsional |
| Jenis: | Bilangan Bulat |
<Source> elemen
Pesan yang akan disaring untuk serangan payload JSON. Fungsi ini paling sering disetel ke
request, karena Anda biasanya perlu memvalidasi permintaan masuk dari aplikasi klien.
Jika ditetapkan ke message, elemen ini akan otomatis mengevaluasi pesan permintaan
ketika dilampirkan ke alur permintaan dan pesan respons saat dilampirkan pada respons
alur kerja.
<Source>request</Source>
| Default: | minta |
| Kehadiran: | Opsional |
| Jenis: |
String. Nilai valid: permintaan, respons, atau pesan. |
<StringValueLength> elemen
Menentukan panjang maksimum yang diizinkan untuk nilai string.
<StringValueLength>500</StringValueLength>
| Default: | Jika Anda tidak menetapkan elemen ini, atau jika Anda menetapkan bilangan bulat negatif, sistem akan tidak menerapkan batas. |
| Kehadiran: | Opsional |
| Jenis: | Bilangan Bulat |
Referensi error
This section describes the fault codes and error messages that are returned and fault variables that are set by Edge when this policy triggers an error. This information is important to know if you are developing fault rules to handle faults. To learn more, see What you need to know about policy errors and Handling faults.
Runtime errors
These errors can occur when the policy executes.
| Fault code | HTTP status | Cause | Fix |
|---|---|---|---|
steps.jsonthreatprotection.ExecutionFailed |
500 | The JSONThreatProtection policy can throw many different types of ExecutionFailed errors. Most of these errors occur when a specific threshold set in the policy is exceeded. These types of errors include: object entry name length, object entry count, array element count, container depth, string string value length. This error also occurs when the payload contains an invalid JSON object. | build |
steps.jsonthreatprotection.SourceUnavailable |
500 |
This error occurs if the message
variable specified in the <Source> element is either:
|
build |
steps.jsonthreatprotection.NonMessageVariable |
500 |
This error occurs if the <Source> element is set to a variable which
is not of type
message.
|
build |
Deployment errors
None.
Fault variables
These variables are set when this policy triggers an error. For more information, see What you need to know about policy errors.
| Variables | Where | Example |
|---|---|---|
fault.name="fault_name" |
fault_name is the name of the fault, as listed in the Runtime errors table above. The fault name is the last part of the fault code. | fault.name Matches "SourceUnavailable" |
jsonattack.policy_name.failed |
policy_name is the user-specified name of the policy that threw the fault. | jsonattack.JTP-SecureRequest.failed = true |
Example error response
{
"fault": {
"faultstring": "JSONThreatProtection[JPT-SecureRequest]: Execution failed. reason: JSONThreatProtection[JTP-SecureRequest]: Exceeded object entry name length at line 2",
"detail": {
"errorcode": "steps.jsonthreatprotection.ExecutionFailed"
}
}
}Example fault rule
<FaultRule name="JSONThreatProtection Policy Faults">
<Step>
<Name>AM-CustomErrorResponse</Name>
<Condition>(fault.name Matches "ExecutionFailed") </Condition>
</Step>
<Condition>(jsonattack.JPT-SecureRequest.failed = true) </Condition>
</FaultRule>
Skema
Catatan penggunaan
Seperti layanan berbasis XML, API yang mendukung notasi objek JavaScript (JSON) rentan terhadap dan serangan {i>content-level<i}. Serangan JSON sederhana mencoba menggunakan struktur yang membebani parser JSON untuk membuat layanan menjadi {i>crash<i} dan menyebabkan serangan {i>denial-of-service<i} tingkat aplikasi. Semua setelan opsional dan harus disesuaikan untuk mengoptimalkan persyaratan layanan Anda terhadap potensi kerentanan.