سياسة JSONThreatProtection

أنت تعرض مستندات Apigee Edge.
انتقل إلى مستندات Apigee X. معلومات

المزايا

تقلِّل من المخاطر التي تشكِّلها الهجمات على مستوى المحتوى من خلال السماح لك بتحديد الحدود على العديد من أنواع الهجمات بُنى JSON، مثل الصفائف والسلاسل

فيديو: يمكنك مشاهدة فيديو قصير لمعرفة المزيد عن كيفية تتيح لك سياسة JSONThreatProtection تأمين واجهات برمجة التطبيقات ضد الهجمات على مستوى المحتوى.

الفيديو: يمكنك مشاهدة هذا الفيديو القصير حول منصة Apigee cross-cloud API.

مرجع العنصر

يصف مرجع العنصر عناصر وسمات JSONThreatProtection .

<JSONThreatProtection async="false" continueOnError="false" enabled="true" name="JSON-Threat-Protection-1">
   <DisplayName>JSONThreatProtection 1</DisplayName>
   <ArrayElementCount>20</ArrayElementCount>
   <ContainerDepth>10</ContainerDepth>
   <ObjectEntryCount>15</ObjectEntryCount>
   <ObjectEntryNameLength>50</ObjectEntryNameLength>
   <Source>request</Source>
   <StringValueLength>500</StringValueLength>
</JSONThreatProtection>

&lt;JSONThreatProtection&gt; السمات

<JSONThreatProtection async="false" continueOnError="false" enabled="true" name="JSON-Threat-Protection-1">

يصف الجدول التالي السمات المشتركة بين جميع العناصر الرئيسية للسياسة:

السمة الوصف تلقائي التواجد في المنزل
name

الاسم الداخلي للسياسة. يمكن لقيمة السمة name أن تحتوي على أحرف وأرقام ومسافات وواصلات وشرطات سفلية ونقاط. لا يمكن لهذه القيمة يتجاوز 255 حرفًا.

يمكنك، إذا أردت، استخدام العنصر <DisplayName> لتصنيف السياسة محرر الخادم الوكيل لواجهة مستخدم الإدارة باسم مختلف بلغة طبيعية.

 لا ينطبق مطلوب
continueOnError

اضبط القيمة على false لعرض رسالة خطأ عند تعذُّر تنفيذ سياسة. هذا متوقّع السلوك في معظم السياسات.

يمكنك ضبط القيمة على true لمواصلة تنفيذ المسار حتى بعد تطبيق إحدى السياسات. فشل.

 خطأ اختياري
enabled

اضبط القيمة على true لفرض السياسة.

اضبط القيمة على false من أجل إيقاف السياسة. لن تكون السياسة ويتم فرضها حتى لو ظلت مرتبطة بتدفق.

 صحيح اختياري
async

تم إيقاف هذه السمة نهائيًا.

 خطأ منهي العمل به

&lt;DisplayName&gt; عنصر

استخدِمه مع السمة name لتصنيف السياسة في إدارة خادم وكيل لواجهة المستخدم باسم مختلف بلغة طبيعية.

<DisplayName>Policy Display Name</DisplayName>
تلقائي

لا ينطبق

إذا لم تستخدم هذا العنصر، سيتم ضبط قيمة السمة name للسياسة على النحو التالي: استخدام البيانات المختلفة.
التواجد في المنزل اختياري
النوع سلسلة

&lt;ArrayElementCount&gt; عنصر

تحدّد هذه السياسة الحد الأقصى لعدد العناصر المسموح بها في المصفوفة.

<ArrayElementCount>20</ArrayElementCount>
الإعداد التلقائي: إذا لم تحدد هذا العنصر، أو إذا حددت عددًا صحيحًا سالبًا، فسيستخدم النظام ولا يفرض حدًا.
الحضور: اختياري
النوع: عدد صحيح

&lt;ContainerDepth&gt; عنصر

تُحدِّد هذه السياسة الحدّ الأقصى لعمق الاحتواء المسموح به، حيث تكون الحاويات عبارة عن كائنات أو مصفوفات. على سبيل المثال، قد ينتج عن الصفيف الذي يحتوي على كائن يحتوي على كائن احتواء عمق 3.

<ContainerDepth>10</ContainerDepth>
الإعداد التلقائي: إذا لم تحدد هذا العنصر، أو إذا حددت عددًا صحيحًا سالبًا، فسيستخدم النظام لا يفرض أي حد.
الحضور: اختياري
النوع: عدد صحيح

&lt;ObjectEntryCount&gt; عنصر

تُحدِّد هذه السياسة الحد الأقصى لعدد الإدخالات المسموح بها في العنصر.

<ObjectEntryCount>15</ObjectEntryCount>
الإعداد التلقائي: إذا لم تحدد هذا العنصر، أو إذا حددت عددًا صحيحًا سالبًا، فسيستخدم النظام لا يفرض أي حد.
الحضور: اختياري
النوع: عدد صحيح

&lt;ObjectEntryNameLength&gt; عنصر

تُحدِّد الحد الأقصى لطول السلسلة المسموح به لاسم السمة داخل كائن.

<ObjectEntryNameLength>50</ObjectEntryNameLength>
الإعداد التلقائي: إذا لم تحدد هذا العنصر، أو إذا حددت عددًا صحيحًا سالبًا، فسيستخدم النظام ولا يفرض حدًا.
الحضور: اختياري
النوع: عدد صحيح

&lt;Source&gt; عنصر

الرسالة التي سيتم فحصها بحثًا عن هجمات حمولة JSON. يتم تعيين هذا بشكل شائع على request، إذ يجب عادةً التحقّق من صحة الطلبات الواردة من تطبيقات العميل. عند ضبط هذا العنصر على message، سيقيّم هذا العنصر تلقائيًا رسالة الطلب. عندما يكون مرتبطًا بتدفق الطلب ورسالة الردّ عندما يكون مرفقًا بالردّ التدفق.

<Source>request</Source>
الإعداد التلقائي: طلب
الحضور: اختياري
النوع:

سلسلة.

القيم الصالحة: الطلب أو الاستجابة أو الرسالة

&lt;StringValueLength&gt; عنصر

تُحدِّد الحد الأقصى للطول المسموح به لقيمة سلسلة.

<StringValueLength>500</StringValueLength>
الإعداد التلقائي: إذا لم تحدد هذا العنصر، أو إذا حددت عددًا صحيحًا سالبًا، فسيستخدم النظام ولا يفرض حدًا.
الحضور: اختياري
النوع: عدد صحيح

مرجع الخطأ

يصف هذا القسم رموز الخطأ ورسائل الخطأ التي يتم عرضها ومتغيرات الأخطاء التي تم ضبطها من خلال Edge عندما تؤدي هذه السياسة إلى ظهور خطأ. من المهم معرفة هذه المعلومات إذا كنت تضع قواعد خطأ التعامل مع الأخطاء. للحصول على مزيد من المعلومات، يمكنك الاطّلاع على ما تحتاج إلى معرفته حول أخطاء السياسة والتعامل مع المعالجة والأخطاء.

أخطاء بيئة التشغيل

يمكن أن تحدث هذه الأخطاء عند تنفيذ السياسة.

رمز الخطأ رموز حالة HTTP السبب إصلاح
steps.jsonthreatprotection.ExecutionFailed 500 يمكن أن تؤدي سياسة JSONThreatProtection إلى العديد من الأنواع المختلفة من أخطاء ExecutionFound. وتحدث معظم هذه الأخطاء عند تجاوز حدّ معيّن في السياسة. هذه تشمل أنواع الأخطاء ما يلي: طول اسم إدخال الكائن، عدد إدخالات الكائن، عدد عناصر المصفوفة، عمق الحاوية، طول قيمة سلسلة السلسلة. يحدث هذا الخطأ أيضًا عندما تحتوي الحمولة على كائن JSON غير صالح.
steps.jsonthreatprotection.SourceUnavailable 500 يحدث هذا الخطأ إذا كانت الرسالة يكون المتغير المحدد في العنصر <Source> إما:
  • خارج النطاق (لا تتوفّر خلال المسار المحدّد الذي يتم فيه تنفيذ السياسة)
  • ليس من القيم الصالحة request أو response، أو message
steps.jsonthreatprotection.NonMessageVariable 500 يحدث هذا الخطأ في حال ضبط العنصر <Source> على متغيّر ليست من النوع رسالة.

أخطاء النشر

بلا عُري

متغيّرات الأخطاء

يتم ضبط هذه المتغيّرات عندما تؤدي هذه السياسة إلى ظهور خطأ. يمكنك الاطّلاع على مقالة ما تحتاج إلى معرفته للحصول على مزيد من المعلومات. حول أخطاء السياسة.

المتغيرات المكان مثال
fault.name="fault_name" fault_name هو اسم الخطأ، كما هو موضَّح في جدول أخطاء وقت التشغيل أعلاه. اسم الخطأ هو الجزء الأخير من رمز الخطأ. fault.name Matches "SourceUnavailable"
jsonattack.policy_name.failed policy_name هو الاسم الذي يحدّده المستخدم للسياسة التي أدّت إلى حدوث الخطأ. jsonattack.JTP-SecureRequest.failed = true

مثال على استجابة الخطأ

{
  "fault": {
    "faultstring": "JSONThreatProtection[JPT-SecureRequest]: Execution failed. reason: JSONThreatProtection[JTP-SecureRequest]: Exceeded object entry name length at line 2",
    "detail": {
      "errorcode": "steps.jsonthreatprotection.ExecutionFailed"
    }
  }
}

مثال على قاعدة الخطأ

<FaultRule name="JSONThreatProtection Policy Faults">
    <Step>
        <Name>AM-CustomErrorResponse</Name>
        <Condition>(fault.name Matches "ExecutionFailed") </Condition>
    </Step>
    <Condition>(jsonattack.JPT-SecureRequest.failed = true) </Condition>
</FaultRule>

المخططات

ملاحظات الاستخدام

مثل الخدمات المستندة إلى XML، تكون واجهات برمجة التطبيقات التي تتيح تدوين كائن JavaScript (JSON) عرضة للاختراق والهجمات على مستوى المحتوى. تحاول هجمات JSON البسيطة استخدام بُنى تربك أدوات تحليل JSON. تعطيل إحدى الخدمات وإحداث هجمات الحرمان من الخدمات على مستوى التطبيق. جميع الإعدادات كما هي اختيارية ويجب ضبطها لتحسين متطلبات الخدمة مقابل العملاء الثغرات الأمنية.

مواضيع ذات صلة

سياسة JSONtoXML

سياسة XMLThreatProtection

سياسة Primary ExpressionProtection