شما در حال مشاهده اسناد Apigee Edge هستید.
به مستندات Apigee X بروید . اطلاعات
چی
خطر ناشی از حملات سطح محتوا را با این امکان به شما میدهد که محدودیتهایی را برای ساختارهای مختلف JSON، مانند آرایهها و رشتهها تعیین کنید.
ویدئو: برای کسب اطلاعات بیشتر در مورد اینکه چگونه خط مشی JSONThreatProtection شما را قادر می سازد API ها را در برابر حملات سطح محتوا ایمن کنید، یک ویدیوی کوتاه تماشا کنید.
ویدئو: این ویدیوی کوتاه را در پلتفرم Apigee cross-cloud API مشاهده کنید.
مرجع عنصر
مرجع عنصر عناصر و ویژگی های خط مشی JSONThreatProtection را توصیف می کند.
<JSONThreatProtection async="false" continueOnError="false" enabled="true" name="JSON-Threat-Protection-1">
<DisplayName>JSONThreatProtection 1</DisplayName>
<ArrayElementCount>20</ArrayElementCount>
<ContainerDepth>10</ContainerDepth>
<ObjectEntryCount>15</ObjectEntryCount>
<ObjectEntryNameLength>50</ObjectEntryNameLength>
<Source>request</Source>
<StringValueLength>500</StringValueLength>
</JSONThreatProtection>
ویژگی های <JSONThreatProtection>
<JSONThreatProtection async="false" continueOnError="false" enabled="true" name="JSON-Threat-Protection-1">
جدول زیر ویژگی هایی را توصیف می کند که برای همه عناصر اصلی خط مشی مشترک هستند:
صفت | توضیحات | پیش فرض | حضور |
---|---|---|---|
name | نام داخلی سیاست. مقدار مشخصه در صورت تمایل، از عنصر | N/A | مورد نیاز |
continueOnError | برای بازگرداندن خطا در صورت شکست خط مشی، روی روی | نادرست | اختیاری |
enabled | برای اجرای خط مشی روی برای خاموش کردن خط مشی، روی | درست است | اختیاری |
async | این ویژگی منسوخ شده است. | نادرست | منسوخ شده است |
عنصر <DisplayName>
علاوه بر ویژگی name
برای برچسبگذاری خطمشی در ویرایشگر پروکسی رابط کاربری مدیریت با نامی متفاوت و به زبان طبیعی، از آن استفاده کنید.
<DisplayName>Policy Display Name</DisplayName>
پیش فرض | N/A اگر این عنصر را حذف کنید، از مقدار ویژگی |
---|---|
حضور | اختیاری |
تایپ کنید | رشته |
عنصر <ArrayElementCount>
حداکثر تعداد عناصر مجاز در یک آرایه را مشخص می کند.
<ArrayElementCount>20</ArrayElementCount>
پیش فرض: | اگر این عنصر را مشخص نکنید، یا اگر یک عدد صحیح منفی را مشخص کنید، سیستم محدودیتی را اعمال نمی کند. |
حضور: | اختیاری |
نوع: | عدد صحیح |
عنصر <ContainerDepth>
حداکثر عمق محفظه مجاز را مشخص میکند، جایی که کانتینرها اشیا یا آرایهها هستند. به عنوان مثال، آرایه ای حاوی یک شی که حاوی یک شی است، منجر به عمق محفظه 3 می شود.
<ContainerDepth>10</ContainerDepth>
پیش فرض: | اگر این عنصر را مشخص نکنید، یا اگر یک عدد صحیح منفی را مشخص کنید، سیستم هیچ محدودیتی را اعمال نمی کند. |
حضور: | اختیاری |
نوع: | عدد صحیح |
عنصر <ObjectEntryCount>
حداکثر تعداد ورودی های مجاز در یک شی را مشخص می کند.
<ObjectEntryCount>15</ObjectEntryCount>
پیش فرض: | اگر این عنصر را مشخص نکنید، یا اگر یک عدد صحیح منفی را مشخص کنید، سیستم هیچ محدودیتی را اعمال نمی کند. |
حضور: | اختیاری |
نوع: | عدد صحیح |
عنصر <ObjectEntryNameLength>
حداکثر طول رشته مجاز برای نام ویژگی در یک شی را مشخص می کند.
<ObjectEntryNameLength>50</ObjectEntryNameLength>
پیش فرض: | اگر این عنصر را مشخص نکنید، یا اگر یک عدد صحیح منفی را مشخص کنید، سیستم محدودیتی را اعمال نمی کند. |
حضور: | اختیاری |
نوع: | عدد صحیح |
عنصر <منبع>
پیامی که باید برای حملات JSON مورد بررسی قرار گیرد. این معمولاً روی request
تنظیم می شود، زیرا معمولاً باید درخواست های ورودی از برنامه های مشتری را تأیید کنید. وقتی روی message
تنظیم شود، این عنصر به طور خودکار پیام درخواست را هنگامی که به جریان درخواست متصل می شود و پیام پاسخ را هنگامی که به جریان پاسخ متصل می شود ارزیابی می کند.
<Source>request</Source>
پیش فرض: | درخواست کنید |
حضور: | اختیاری |
نوع: | رشته مقادیر معتبر: درخواست، پاسخ یا پیام. |
عنصر <StringValueLength>
حداکثر طول مجاز برای یک مقدار رشته را مشخص می کند.
<StringValueLength>500</StringValueLength>
پیش فرض: | اگر این عنصر را مشخص نکنید، یا اگر یک عدد صحیح منفی را مشخص کنید، سیستم محدودیتی را اعمال نمی کند. |
حضور: | اختیاری |
نوع: | عدد صحیح |
مرجع خطا
این بخش کدهای خطا و پیامهای خطایی را که برگردانده میشوند و متغیرهای خطا را که توسط Edge تنظیم میشوند، هنگامی که این خطمشی خطا را راهاندازی میکند، توضیح میدهد. این اطلاعات برای دانستن اینکه آیا در حال توسعه قوانین خطا برای رسیدگی به خطاها هستید، مهم است. برای کسب اطلاعات بیشتر، آنچه را که باید در مورد خطاهای خط مشی و مدیریت خطاها بدانید را ببینید.
خطاهای زمان اجرا
این خطاها ممکن است هنگام اجرای سیاست رخ دهند.
کد خطا | وضعیت HTTP | علت | رفع کنید |
---|---|---|---|
steps.jsonthreatprotection.ExecutionFailed | 500 | خط مشی JSONThreatProtection می تواند انواع مختلفی از خطاهای ExecutionFailed را ایجاد کند. بیشتر این خطاها زمانی رخ میدهند که از یک آستانه مشخص در خطمشی تجاوز کند. این نوع خطاها عبارتند از: طول نام ورودی شیء ، تعداد ورودی شیء ، تعداد عناصر آرایه ، عمق ظرف ، طول مقدار رشته رشته . این خطا همچنین زمانی رخ میدهد که payload دارای یک شی JSON نامعتبر باشد. | build |
steps.jsonthreatprotection.SourceUnavailable | 500 | این خطا در صورتی رخ می دهد که متغیر پیام مشخص شده در عنصر <Source> یکی از این موارد باشد:
| build |
steps.jsonthreatprotection.NonMessageVariable | 500 | این خطا در صورتی رخ می دهد که عنصر <Source> روی متغیری تنظیم شود که از نوع پیام نیست. | build |
خطاهای استقرار
هیچ کدام
متغیرهای خطا
این متغیرها زمانی تنظیم می شوند که این خط مشی خطایی را ایجاد کند. برای اطلاعات بیشتر، به آنچه باید در مورد خطاهای خط مشی بدانید مراجعه کنید.
متغیرها | کجا | مثال |
---|---|---|
fault.name=" fault_name " | fault_name نام خطا است، همانطور که در جدول خطاهای Runtime در بالا ذکر شده است. نام خطا آخرین قسمت کد خطا است. | fault.name Matches "SourceUnavailable" |
jsonattack. policy_name .failed | policy_name نام سیاستی است که توسط کاربر مشخص شده است که خطا را ایجاد کرده است. | jsonattack.JTP-SecureRequest.failed = true |
نمونه پاسخ خطا
{ "fault": { "faultstring": "JSONThreatProtection[JPT-SecureRequest]: Execution failed. reason: JSONThreatProtection[JTP-SecureRequest]: Exceeded object entry name length at line 2", "detail": { "errorcode": "steps.jsonthreatprotection.ExecutionFailed" } } }
مثال قانون خطا
<FaultRule name="JSONThreatProtection Policy Faults">
<Step>
<Name>AM-CustomErrorResponse</Name>
<Condition>(fault.name Matches "ExecutionFailed") </Condition>
</Step>
<Condition>(jsonattack.JPT-SecureRequest.failed = true) </Condition>
</FaultRule>
طرحواره ها
نکات استفاده
مانند سرویسهای مبتنی بر XML، APIهایی که از نمادگذاری شی جاوا اسکریپت (JSON) پشتیبانی میکنند، در برابر حملات سطح محتوا آسیبپذیر هستند. حملات ساده JSON سعی می کنند از ساختارهایی استفاده کنند که تجزیه کننده های JSON را تحت الشعاع قرار می دهد تا یک سرویس را خراب کند و حملات انکار سرویس در سطح برنامه را تحریک کند. همه تنظیمات اختیاری هستند و باید برای بهینه سازی خدمات مورد نیاز شما در برابر آسیب پذیری های احتمالی تنظیم شوند.