Политика JSONThreatProtection

Вы просматриваете документацию Apigee Edge .
Перейдите к документации Apigee X. информация

Что

Минимизирует риск, связанный с атаками на уровне контента, позволяя вам указывать ограничения для различных структур JSON, таких как массивы и строки.

Видео. Посмотрите короткое видео, чтобы узнать больше о том, как политика JSONThreatProtection позволяет защитить API от атак на уровне контента.

Видео: Посмотрите этот короткий видеоролик о платформе кросс-облачного API Apigee.

Ссылка на элемент

Ссылка на элемент описывает элементы и атрибуты политики JSONThreatProtection.

<JSONThreatProtection async="false" continueOnError="false" enabled="true" name="JSON-Threat-Protection-1">
   <DisplayName>JSONThreatProtection 1</DisplayName>
   <ArrayElementCount>20</ArrayElementCount>
   <ContainerDepth>10</ContainerDepth>
   <ObjectEntryCount>15</ObjectEntryCount>
   <ObjectEntryNameLength>50</ObjectEntryNameLength>
   <Source>request</Source>
   <StringValueLength>500</StringValueLength>
</JSONThreatProtection>

Атрибуты <JSONThreatProtection> 

<JSONThreatProtection async="false" continueOnError="false" enabled="true" name="JSON-Threat-Protection-1">

В следующей таблице описаны атрибуты, общие для всех родительских элементов политики:

Атрибут Описание По умолчанию Присутствие
name

Внутреннее имя политики. Значение атрибута name может содержать буквы, цифры, пробелы, дефисы, подчеркивания и точки. Это значение не может превышать 255 символов.

При необходимости используйте элемент <DisplayName> , чтобы пометить политику в редакторе прокси-сервера пользовательского интерфейса управления другим именем на естественном языке.

 Н/Д Необходимый
continueOnError

Установите значение false , чтобы возвращать ошибку в случае сбоя политики. Это ожидаемое поведение для большинства политик.

Установите значение true , чтобы выполнение потока продолжалось даже после сбоя политики.

 ЛОЖЬ Необязательный
enabled

Установите значение true , чтобы обеспечить соблюдение политики.

Установите значение false , чтобы отключить политику. Политика не будет применена, даже если она останется привязанной к потоку.

 истинный Необязательный
async

Этот атрибут устарел.

 ЛОЖЬ Устарело

Элемент <DisplayName>

Используйте в дополнение к атрибуту name , чтобы пометить политику в редакторе прокси-сервера пользовательского интерфейса управления другим именем на естественном языке.

<DisplayName>Policy Display Name</DisplayName>
По умолчанию

Н/Д

Если вы опустите этот элемент, будет использовано значение атрибута name политики.

Присутствие Необязательный
Тип Нить

Элемент <ArrayElementCount>

Указывает максимальное количество элементов, разрешенное в массиве.

<ArrayElementCount>20</ArrayElementCount>
По умолчанию: Если вы не укажете этот элемент или укажете отрицательное целое число, система не будет применять ограничение.
Присутствие: Необязательный
Тип: Целое число

Элемент <ContainerDepth>

Указывает максимально допустимую глубину включения, где контейнерами являются объекты или массивы. Например, массив, содержащий объект, который содержит объект, будет иметь глубину включения 3.

<ContainerDepth>10</ContainerDepth>
По умолчанию: Если вы не укажете этот элемент или укажете отрицательное целое число, система не наложит никаких ограничений.
Присутствие: Необязательный
Тип: Целое число

Элемент <ObjectEntryCount>

Указывает максимальное количество записей, разрешенное в объекте.

<ObjectEntryCount>15</ObjectEntryCount>
По умолчанию: Если вы не укажете этот элемент или укажете отрицательное целое число, система не наложит никаких ограничений.
Присутствие: Необязательный
Тип: Целое число

Элемент <ObjectEntryNameLength>

Указывает максимальную длину строки, разрешенную для имени свойства внутри объекта.

<ObjectEntryNameLength>50</ObjectEntryNameLength>
По умолчанию: Если вы не укажете этот элемент или укажете отрицательное целое число, система не будет применять ограничение.
Присутствие: Необязательный
Тип: Целое число

Элемент <Источник>

Сообщение, которое будет проверено на наличие атак с использованием полезной нагрузки JSON. Чаще всего это значение request , так как вам обычно необходимо проверять входящие запросы от клиентских приложений. Если установлено значение message , этот элемент будет автоматически оценивать сообщение запроса при его присоединении к потоку запросов и ответное сообщение при присоединении к потоку ответов.

<Source>request</Source>
По умолчанию: запрос
Присутствие: Необязательный
Тип:

Нить.

Допустимые значения: запрос, ответ или сообщение.

Элемент <StringValueLength>

Указывает максимальную длину, разрешенную для строкового значения.

<StringValueLength>500</StringValueLength>
По умолчанию: Если вы не укажете этот элемент или укажете отрицательное целое число, система не будет применять ограничение.
Присутствие: Необязательный
Тип: Целое число

Ссылка на ошибку

This section describes the fault codes and error messages that are returned and fault variables that are set by Edge when this policy triggers an error. This information is important to know if you are developing fault rules to handle faults. To learn more, see What you need to know about policy errors and Handling faults.

Runtime errors

These errors can occur when the policy executes.

Fault code HTTP status Cause Fix
steps.jsonthreatprotection.ExecutionFailed 500 The JSONThreatProtection policy can throw many different types of ExecutionFailed errors. Most of these errors occur when a specific threshold set in the policy is exceeded. These types of errors include: object entry name length, object entry count, array element count, container depth, string string value length. This error also occurs when the payload contains an invalid JSON object.
steps.jsonthreatprotection.SourceUnavailable 500 This error occurs if the message variable specified in the <Source> element is either:
  • Out of scope (not available in the specific flow where the policy is being executed)
  • Is not one of the valid values request, response, or message
steps.jsonthreatprotection.NonMessageVariable 500 This error occurs if the <Source> element is set to a variable which is not of type message.

Deployment errors

None.

Fault variables

These variables are set when this policy triggers an error. For more information, see What you need to know about policy errors.

Variables Where Example
fault.name="fault_name" fault_name is the name of the fault, as listed in the Runtime errors table above. The fault name is the last part of the fault code. fault.name Matches "SourceUnavailable"
jsonattack.policy_name.failed policy_name is the user-specified name of the policy that threw the fault. jsonattack.JTP-SecureRequest.failed = true

Example error response

{
  "fault": {
    "faultstring": "JSONThreatProtection[JPT-SecureRequest]: Execution failed. reason: JSONThreatProtection[JTP-SecureRequest]: Exceeded object entry name length at line 2",
    "detail": {
      "errorcode": "steps.jsonthreatprotection.ExecutionFailed"
    }
  }
}

Example fault rule

<FaultRule name="JSONThreatProtection Policy Faults">
    <Step>
        <Name>AM-CustomErrorResponse</Name>
        <Condition>(fault.name Matches "ExecutionFailed") </Condition>
    </Step>
    <Condition>(jsonattack.JPT-SecureRequest.failed = true) </Condition>
</FaultRule>

Схемы

Примечания по использованию

Как и службы на основе XML, API, поддерживающие нотацию объектов JavaScript (JSON), уязвимы для атак на уровне контента. Простые атаки JSON пытаются использовать структуры, которые перегружают анализаторы JSON, чтобы привести к сбою службы и вызвать атаки типа «отказ в обслуживании» на уровне приложения. Все настройки являются необязательными и должны быть настроены для оптимизации требований к вашим услугам от потенциальных уязвимостей.

Связанные темы

Политика JSONtoXML

Политика XMLThreatProtection

Политика RegularExpressionProtection