این صفحه به‌وسیله ‏Cloud Translation API‏ ترجمه شده است.

خط مشی JSONThreatProtection

شما در حال مشاهده اسناد Apigee Edge هستید.
به مستندات Apigee X بروید . اطلاعات

چی

خطر ناشی از حملات سطح محتوا را با این امکان به شما می‌دهد که محدودیت‌هایی را برای ساختارهای مختلف JSON، مانند آرایه‌ها و رشته‌ها تعیین کنید.

توجه: این خط مشی فقط در صورتی اجرا می شود که Content-Type درخواست یا هدر پاسخ روی application/json.

ویدئو: برای کسب اطلاعات بیشتر در مورد اینکه چگونه خط مشی JSONThreatProtection شما را قادر می سازد API ها را در برابر حملات سطح محتوا ایمن کنید، یک ویدیوی کوتاه تماشا کنید.

ویدئو: این ویدیوی کوتاه را در پلتفرم Apigee cross-cloud API مشاهده کنید.

مرجع عنصر

مرجع عنصر عناصر و ویژگی های خط مشی JSONThreatProtection را توصیف می کند.

<JSONThreatProtection async="false" continueOnError="false" enabled="true" name="JSON-Threat-Protection-1">
   <DisplayName>JSONThreatProtection 1</DisplayName>
   <ArrayElementCount>20</ArrayElementCount>
   <ContainerDepth>10</ContainerDepth>
   <ObjectEntryCount>15</ObjectEntryCount>
   <ObjectEntryNameLength>50</ObjectEntryNameLength>
   <Source>request</Source>
   <StringValueLength>500</StringValueLength>
</JSONThreatProtection>

ویژگی های <JSONThreatProtection>

<JSONThreatProtection async="false" continueOnError="false" enabled="true" name="JSON-Threat-Protection-1">

جدول زیر ویژگی هایی را توصیف می کند که برای همه عناصر اصلی خط مشی مشترک هستند:

صفت	توضیحات	پیش فرض	حضور
`name`	نام داخلی سیاست. مقدار مشخصه `name` می تواند شامل حروف، اعداد، فاصله، خط تیره، زیرخط و نقطه باشد. این مقدار نمی تواند بیش از 255 کاراکتر باشد. در صورت تمایل، از عنصر `<DisplayName>` برای برچسب گذاری خط مشی در ویرایشگر پروکسی UI مدیریت با نامی به زبان طبیعی دیگر استفاده کنید.	N/A	مورد نیاز
`continueOnError`	برای بازگرداندن خطا در صورت شکست خط مشی، روی `false` تنظیم کنید. این رفتار مورد انتظار برای اکثر سیاست ها است. روی `true` تنظیم کنید تا اجرای جریان حتی پس از شکست خط مشی ادامه یابد.	نادرست	اختیاری
`enabled`	برای اجرای خط مشی روی `true` تنظیم کنید. برای خاموش کردن خط مشی، روی `false` تنظیم کنید. این سیاست حتی اگر به یک جریان وابسته باشد اجرا نخواهد شد.	درست است	اختیاری
`async`	این ویژگی منسوخ شده است.	نادرست	منسوخ شده است

عنصر <DisplayName>

علاوه بر ویژگی name برای برچسب‌گذاری خط‌مشی در ویرایشگر پروکسی رابط کاربری مدیریت با نامی متفاوت و به زبان طبیعی، از آن استفاده کنید.

<DisplayName>Policy Display Name</DisplayName>

پیش فرض

پیش فرض	N/A اگر این عنصر را حذف کنید، از مقدار ویژگی `name` خط مشی استفاده می شود.
حضور	اختیاری
تایپ کنید	رشته

N/A

اگر این عنصر را حذف کنید، از مقدار ویژگی name خط مشی استفاده می شود.

حضور اختیاری

تایپ کنید رشته

عنصر <ArrayElementCount>

حداکثر تعداد عناصر مجاز در یک آرایه را مشخص می کند.

<ArrayElementCount>20</ArrayElementCount>

پیش فرض:	اگر این عنصر را مشخص نکنید، یا اگر یک عدد صحیح منفی را مشخص کنید، سیستم محدودیتی را اعمال نمی کند.
حضور:	اختیاری
نوع:	عدد صحیح

عنصر <ContainerDepth>

حداکثر عمق محفظه مجاز را مشخص می‌کند، جایی که کانتینرها اشیا یا آرایه‌ها هستند. به عنوان مثال، آرایه ای حاوی یک شی که حاوی یک شی است، منجر به عمق محفظه 3 می شود.

<ContainerDepth>10</ContainerDepth>

پیش فرض:	اگر این عنصر را مشخص نکنید، یا اگر یک عدد صحیح منفی را مشخص کنید، سیستم هیچ محدودیتی را اعمال نمی کند.
حضور:	اختیاری
نوع:	عدد صحیح

عنصر <ObjectEntryCount>

حداکثر تعداد ورودی های مجاز در یک شی را مشخص می کند.

<ObjectEntryCount>15</ObjectEntryCount>

پیش فرض:	اگر این عنصر را مشخص نکنید، یا اگر یک عدد صحیح منفی را مشخص کنید، سیستم هیچ محدودیتی را اعمال نمی کند.
حضور:	اختیاری
نوع:	عدد صحیح

عنصر <ObjectEntryNameLength>

حداکثر طول رشته مجاز برای نام ویژگی در یک شی را مشخص می کند.

<ObjectEntryNameLength>50</ObjectEntryNameLength>

پیش فرض:	اگر این عنصر را مشخص نکنید، یا اگر یک عدد صحیح منفی را مشخص کنید، سیستم محدودیتی را اعمال نمی کند.
حضور:	اختیاری
نوع:	عدد صحیح

عنصر <منبع>

پیامی که باید برای حملات JSON مورد بررسی قرار گیرد. این معمولاً روی request تنظیم می شود، زیرا معمولاً باید درخواست های ورودی از برنامه های مشتری را تأیید کنید. وقتی روی message تنظیم شود، این عنصر به طور خودکار پیام درخواست را هنگامی که به جریان درخواست متصل می شود و پیام پاسخ را هنگامی که به جریان پاسخ متصل می شود ارزیابی می کند.

<Source>request</Source>

پیش فرض:

درخواست کنید

حضور:

اختیاری

نوع:

رشته

مقادیر معتبر: درخواست، پاسخ یا پیام.

عنصر <StringValueLength>

حداکثر طول مجاز برای یک مقدار رشته را مشخص می کند.

<StringValueLength>500</StringValueLength>

پیش فرض:	اگر این عنصر را مشخص نکنید، یا اگر یک عدد صحیح منفی را مشخص کنید، سیستم محدودیتی را اعمال نمی کند.
حضور:	اختیاری
نوع:	عدد صحیح

مرجع خطا

توجه: این خط مشی فقط در صورتی اجرا می شود که Content-Type درخواست یا هدر پاسخ روی application/json.

This section describes the fault codes and error messages that are returned and fault variables that are set by Edge when this policy triggers an error. This information is important to know if you are developing fault rules to handle faults. To learn more, see What you need to know about policy errors and Handling faults.

Runtime errors

These errors can occur when the policy executes.

Fault code	HTTP status	Cause
`steps.jsonthreatprotection.ExecutionFailed`	500	The JSONThreatProtection policy can throw many different types of ExecutionFailed errors. Most of these errors occur when a specific threshold set in the policy is exceeded. These types of errors include: object entry name length, object entry count, array element count, container depth, string string value length. This error also occurs when the payload contains an invalid JSON object.
`steps.jsonthreatprotection.SourceUnavailable`	500	This error occurs if the message variable specified in the `<Source>` element is either: Out of scope (not available in the specific flow where the policy is being executed) Is not one of the valid values `request`, `response`, or `message`
`steps.jsonthreatprotection.NonMessageVariable`	500	This error occurs if the `<Source>` element is set to a variable which is not of type message.

Deployment errors

None.

Fault variables

These variables are set when this policy triggers an error. For more information, see What you need to know about policy errors.

Variables	Where	Example
`fault.name="fault_name"`	`fault_name` is the name of the fault, as listed in the Runtime errors table above. The fault name is the last part of the fault code.	`fault.name Matches "SourceUnavailable"`
`jsonattack.policy_name.failed`	`policy_name` is the user-specified name of the policy that threw the fault.	`jsonattack.JTP-SecureRequest.failed = true`

Example error response

{
  "fault": {
    "faultstring": "JSONThreatProtection[JPT-SecureRequest]: Execution failed. reason: JSONThreatProtection[JTP-SecureRequest]: Exceeded object entry name length at line 2",
    "detail": {
      "errorcode": "steps.jsonthreatprotection.ExecutionFailed"
    }
  }
}

Example fault rule

<FaultRule name="JSONThreatProtection Policy Faults">
    <Step>
        <Name>AM-CustomErrorResponse</Name>
        <Condition>(fault.name Matches "ExecutionFailed") </Condition>
    </Step>
    <Condition>(jsonattack.JPT-SecureRequest.failed = true) </Condition>
</FaultRule>

طرحواره ها

نکات استفاده

مانند سرویس‌های مبتنی بر XML، APIهایی که از نمادگذاری شی جاوا اسکریپت (JSON) پشتیبانی می‌کنند، در برابر حملات سطح محتوا آسیب‌پذیر هستند. حملات ساده JSON سعی می کنند از ساختارهایی استفاده کنند که تجزیه کننده های JSON را تحت الشعاع قرار می دهد تا یک سرویس را خراب کند و حملات انکار سرویس در سطح برنامه را تحریک کند. همه تنظیمات اختیاری هستند و باید برای بهینه سازی خدمات مورد نیاز شما در برابر آسیب پذیری های احتمالی تنظیم شوند.

موضوعات مرتبط

خط مشی JSONtoXML

خط مشی XMLThreatProtection

خط مشی RegularExpressionProtection