خط مشی JSONThreatProtection

شما در حال مشاهده اسناد Apigee Edge هستید.
به مستندات Apigee X بروید .
اطلاعات

چی

خطر ناشی از حملات سطح محتوا را با این امکان به شما می‌دهد که محدودیت‌هایی را برای ساختارهای مختلف JSON، مانند آرایه‌ها و رشته‌ها تعیین کنید.

ویدئو: برای کسب اطلاعات بیشتر در مورد اینکه چگونه خط مشی JSONThreatProtection شما را قادر می سازد API ها را در برابر حملات سطح محتوا ایمن کنید، یک ویدیوی کوتاه تماشا کنید.

ویدئو: این ویدیوی کوتاه را در پلتفرم Apigee cross-cloud API مشاهده کنید.

مرجع عنصر

مرجع عنصر عناصر و ویژگی های خط مشی JSONThreatProtection را توصیف می کند.

<JSONThreatProtection async="false" continueOnError="false" enabled="true" name="JSON-Threat-Protection-1">
   
<DisplayName>JSONThreatProtection 1</DisplayName>
   
<ArrayElementCount>20</ArrayElementCount>
   
<ContainerDepth>10</ContainerDepth>
   
<ObjectEntryCount>15</ObjectEntryCount>
   
<ObjectEntryNameLength>50</ObjectEntryNameLength>
   
<Source>request</Source>
   
<StringValueLength>500</StringValueLength>
</JSONThreatProtection>

ویژگی های <JSONThreatProtection>

<JSONThreatProtection async="false" continueOnError="false" enabled="true" name="JSON-Threat-Protection-1"> 

جدول زیر ویژگی هایی را توصیف می کند که برای همه عناصر اصلی خط مشی مشترک هستند:

صفت توضیحات پیش فرض حضور
name

نام داخلی سیاست. مقدار مشخصه name می تواند شامل حروف، اعداد، فاصله، خط تیره، زیرخط و نقطه باشد. این مقدار نمی تواند بیش از 255 کاراکتر باشد.

در صورت تمایل، از عنصر <DisplayName> برای برچسب گذاری خط مشی در ویرایشگر پروکسی UI مدیریت با نامی به زبان طبیعی دیگر استفاده کنید.

N/A مورد نیاز
continueOnError

برای بازگرداندن خطا در صورت شکست خط مشی، روی false تنظیم کنید. این رفتار مورد انتظار برای اکثر سیاست ها است.

روی true تنظیم کنید تا اجرای جریان حتی پس از شکست خط مشی ادامه یابد.

نادرست اختیاری
enabled

برای اجرای خط مشی روی true تنظیم کنید.

برای خاموش کردن خط مشی، روی false تنظیم کنید. این سیاست حتی اگر به یک جریان وابسته باشد اجرا نخواهد شد.

درست است اختیاری
async

این ویژگی منسوخ شده است.

نادرست منسوخ شده است

عنصر <DisplayName>

علاوه بر ویژگی name برای برچسب‌گذاری خط‌مشی در ویرایشگر پروکسی رابط کاربری مدیریت با نامی متفاوت و به زبان طبیعی، از آن استفاده کنید.

<DisplayName>Policy Display Name</DisplayName>
پیش فرض

N/A

اگر این عنصر را حذف کنید، از مقدار ویژگی name خط مشی استفاده می شود.

حضور اختیاری
تایپ کنید رشته

عنصر <ArrayElementCount>

حداکثر تعداد عناصر مجاز در یک آرایه را مشخص می کند.

<ArrayElementCount>20</ArrayElementCount>
پیش فرض: اگر این عنصر را مشخص نکنید، یا اگر یک عدد صحیح منفی را مشخص کنید، سیستم محدودیتی را اعمال نمی کند.
حضور: اختیاری
نوع: عدد صحیح

عنصر <ContainerDepth>

حداکثر عمق محفظه مجاز را مشخص می‌کند، جایی که کانتینرها اشیا یا آرایه‌ها هستند. به عنوان مثال، آرایه ای حاوی یک شی که حاوی یک شی است، منجر به عمق محفظه 3 می شود.

<ContainerDepth>10</ContainerDepth>
پیش فرض: اگر این عنصر را مشخص نکنید، یا اگر یک عدد صحیح منفی را مشخص کنید، سیستم هیچ محدودیتی را اعمال نمی کند.
حضور: اختیاری
نوع: عدد صحیح

عنصر <ObjectEntryCount>

حداکثر تعداد ورودی های مجاز در یک شی را مشخص می کند.

<ObjectEntryCount>15</ObjectEntryCount>
پیش فرض: اگر این عنصر را مشخص نکنید، یا اگر یک عدد صحیح منفی را مشخص کنید، سیستم هیچ محدودیتی را اعمال نمی کند.
حضور: اختیاری
نوع: عدد صحیح

عنصر <ObjectEntryNameLength>

حداکثر طول رشته مجاز برای نام ویژگی در یک شی را مشخص می کند.

<ObjectEntryNameLength>50</ObjectEntryNameLength>
پیش فرض: اگر این عنصر را مشخص نکنید، یا اگر یک عدد صحیح منفی را مشخص کنید، سیستم محدودیتی را اعمال نمی کند.
حضور: اختیاری
نوع: عدد صحیح

عنصر <منبع>

پیامی که باید برای حملات JSON مورد بررسی قرار گیرد. این معمولاً روی request تنظیم می شود، زیرا معمولاً باید درخواست های ورودی از برنامه های مشتری را تأیید کنید. وقتی روی message تنظیم شود، این عنصر به طور خودکار پیام درخواست را هنگامی که به جریان درخواست متصل می شود و پیام پاسخ را هنگامی که به جریان پاسخ متصل می شود ارزیابی می کند.

<Source>request</Source>
پیش فرض: درخواست کنید
حضور: اختیاری
نوع:

رشته

مقادیر معتبر: درخواست، پاسخ یا پیام.

عنصر <StringValueLength>

حداکثر طول مجاز برای یک مقدار رشته را مشخص می کند.

<StringValueLength>500</StringValueLength>
پیش فرض: اگر این عنصر را مشخص نکنید، یا اگر یک عدد صحیح منفی را مشخص کنید، سیستم محدودیتی را اعمال نمی کند.
حضور: اختیاری
نوع: عدد صحیح

مرجع خطا

این بخش کدهای خطا و پیام‌های خطایی را که برگردانده می‌شوند و متغیرهای خطا را که توسط Edge تنظیم می‌شوند، هنگامی که این خط‌مشی خطا را راه‌اندازی می‌کند، توضیح می‌دهد. این اطلاعات برای دانستن اینکه آیا در حال توسعه قوانین خطا برای رسیدگی به خطاها هستید، مهم است. برای کسب اطلاعات بیشتر، آنچه را که باید در مورد خطاهای خط مشی و مدیریت خطاها بدانید را ببینید.

خطاهای زمان اجرا

این خطاها ممکن است هنگام اجرای سیاست رخ دهند.

کد خطا وضعیت HTTP علت رفع کنید
steps.jsonthreatprotection.ExecutionFailed 500 خط مشی JSONThreatProtection می تواند انواع مختلفی از خطاهای ExecutionFailed را ایجاد کند. بیشتر این خطاها زمانی رخ می‌دهند که از یک آستانه مشخص در خط‌مشی تجاوز کند. این نوع خطاها عبارتند از: طول نام ورودی شیء ، تعداد ورودی شیء ، تعداد عناصر آرایه ، عمق ظرف ، طول مقدار رشته رشته . این خطا همچنین زمانی رخ می‌دهد که payload دارای یک شی JSON نامعتبر باشد.
steps.jsonthreatprotection.SourceUnavailable 500 این خطا در صورتی رخ می دهد که متغیر پیام مشخص شده در عنصر <Source> یکی از این موارد باشد:
  • خارج از محدوده (در جریان خاصی که سیاست در آن اجرا می شود موجود نیست)
  • یکی از مقادیر معتبر request ، response یا message نیست
steps.jsonthreatprotection.NonMessageVariable 500 این خطا در صورتی رخ می دهد که عنصر <Source> روی متغیری تنظیم شود که از نوع پیام نیست.

خطاهای استقرار

هیچ کدام

متغیرهای خطا

این متغیرها زمانی تنظیم می شوند که این خط مشی خطایی را ایجاد کند. برای اطلاعات بیشتر، به آنچه باید در مورد خطاهای خط مشی بدانید مراجعه کنید.

متغیرها کجا مثال
fault.name=" fault_name " fault_name نام خطا است، همانطور که در جدول خطاهای Runtime در بالا ذکر شده است. نام خطا آخرین قسمت کد خطا است. fault.name Matches "SourceUnavailable"
jsonattack. policy_name .failed policy_name نام سیاستی است که توسط کاربر مشخص شده است که خطا را ایجاد کرده است. jsonattack.JTP-SecureRequest.failed = true

نمونه پاسخ خطا

{
  "fault": {
    "faultstring": "JSONThreatProtection[JPT-SecureRequest]: Execution failed. reason: JSONThreatProtection[JTP-SecureRequest]: Exceeded object entry name length at line 2",
    "detail": {
      "errorcode": "steps.jsonthreatprotection.ExecutionFailed"
    }
  }
}

مثال قانون خطا

<FaultRule name="JSONThreatProtection Policy Faults">
    <Step>
        <Name>AM-CustomErrorResponse</Name>
        <Condition>(fault.name Matches "ExecutionFailed") </Condition>
    </Step>
    <Condition>(jsonattack.JPT-SecureRequest.failed = true) </Condition>
</FaultRule>

طرحواره ها

نکات استفاده

مانند سرویس‌های مبتنی بر XML، APIهایی که از نمادگذاری شی جاوا اسکریپت (JSON) پشتیبانی می‌کنند، در برابر حملات سطح محتوا آسیب‌پذیر هستند. حملات ساده JSON سعی می کنند از ساختارهایی استفاده کنند که تجزیه کننده های JSON را تحت الشعاع قرار می دهد تا یک سرویس را خراب کند و حملات انکار سرویس در سطح برنامه را تحریک کند. همه تنظیمات اختیاری هستند و باید برای بهینه سازی خدمات مورد نیاز شما در برابر آسیب پذیری های احتمالی تنظیم شوند.

موضوعات مرتبط

خط مشی JSONtoXML

خط مشی XMLThreatProtection

خط مشی RegularExpressionProtection