আপনি Apigee Edge ডকুমেন্টেশন দেখছেন।
Apigee X ডকুমেন্টেশনে যান । তথ্য

কি
অ্যারে এবং স্ট্রিংগুলির মতো বিভিন্ন JSON কাঠামোতে সীমা নির্দিষ্ট করতে আপনাকে সক্ষম করে বিষয়বস্তু-স্তরের আক্রমণ দ্বারা সৃষ্ট ঝুঁকিকে কমিয়ে দেয়।
ভিডিও: কীভাবে JSONThreatProtection নীতি আপনাকে বিষয়বস্তু-স্তরের আক্রমণের বিরুদ্ধে APIগুলি সুরক্ষিত করতে সক্ষম করে সে সম্পর্কে আরও জানতে একটি ছোট ভিডিও দেখুন৷
ভিডিও: Apigee ক্রস-ক্লাউড API প্ল্যাটফর্মে এই ছোট ভিডিওটি দেখুন।
উপাদান রেফারেন্স
উপাদান রেফারেন্স JSONThreatProtection নীতির উপাদান এবং বৈশিষ্ট্য বর্ণনা করে।
<JSONThreatProtection async="false" continueOnError="false" enabled="true" name="JSON-Threat-Protection-1"> <DisplayName>JSONThreatProtection 1</DisplayName> <ArrayElementCount>20</ArrayElementCount> <ContainerDepth>10</ContainerDepth> <ObjectEntryCount>15</ObjectEntryCount> <ObjectEntryNameLength>50</ObjectEntryNameLength> <Source>request</Source> <StringValueLength>500</StringValueLength> </JSONThreatProtection>
<JSONThreatProtection> বৈশিষ্ট্য
<JSONThreatProtection async="false" continueOnError="false" enabled="true" name="JSON-Threat-Protection-1">
নিম্নলিখিত সারণী সমস্ত নীতির মূল উপাদানগুলির জন্য সাধারণ বৈশিষ্ট্যগুলি বর্ণনা করে:
বৈশিষ্ট্য | বর্ণনা | ডিফল্ট | উপস্থিতি |
---|---|---|---|
name | নীতির অভ্যন্তরীণ নাম। ঐচ্ছিকভাবে, ম্যানেজমেন্ট UI প্রক্সি এডিটরে নীতিটিকে একটি ভিন্ন, প্রাকৃতিক-ভাষা নামের সাথে লেবেল করতে | N/A | প্রয়োজন |
continueOnError | একটি নীতি ব্যর্থ হলে একটি ত্রুটি ফেরত দিতে একটি নীতি ব্যর্থ হওয়ার পরেও ফ্লো এক্সিকিউশন চালিয়ে যেতে | মিথ্যা | ঐচ্ছিক |
enabled | নীতি প্রয়োগ করতে নীতি বন্ধ করতে | সত্য | ঐচ্ছিক |
async | এই বৈশিষ্ট্যটি অবমূল্যায়ন করা হয়েছে৷ | মিথ্যা | অবচয় |
<DisplayName> উপাদান
ম্যানেজমেন্ট UI প্রক্সি এডিটরে নীতিটিকে একটি ভিন্ন, প্রাকৃতিক-ভাষা নামের সাথে লেবেল করতে name
বৈশিষ্ট্য ছাড়াও ব্যবহার করুন।
<DisplayName>Policy Display Name</DisplayName>
ডিফল্ট | N/A আপনি এই উপাদানটি বাদ দিলে, নীতির |
---|---|
উপস্থিতি | ঐচ্ছিক |
টাইপ | স্ট্রিং |
<ArrayElementCount> উপাদান
একটি অ্যারেতে অনুমোদিত উপাদানগুলির সর্বাধিক সংখ্যা নির্দিষ্ট করে৷
<ArrayElementCount>20</ArrayElementCount>
ডিফল্ট: | আপনি যদি এই উপাদানটি নির্দিষ্ট না করেন, অথবা যদি আপনি একটি ঋণাত্মক পূর্ণসংখ্যা উল্লেখ করেন, তবে সিস্টেমটি একটি সীমা প্রয়োগ করে না। |
উপস্থিতি: | ঐচ্ছিক |
প্রকার: | পূর্ণসংখ্যা |
<ContainerDepth> উপাদান
সর্বাধিক অনুমোদিত কন্টেনমেন্ট গভীরতা নির্দিষ্ট করে, যেখানে ধারকগুলি বস্তু বা অ্যারে। উদাহরণ স্বরূপ, একটি অবজেক্ট ধারণ করে এমন একটি অ্যারে যা একটি অবজেক্ট ধারণ করে একটি কনটেইনমেন্টের গভীরতা 3 হবে।
<ContainerDepth>10</ContainerDepth>
ডিফল্ট: | আপনি যদি এই উপাদানটি নির্দিষ্ট না করেন, অথবা যদি আপনি একটি ঋণাত্মক পূর্ণসংখ্যা উল্লেখ করেন, তাহলে সিস্টেমটি কোনো সীমা বলবৎ করে না। |
উপস্থিতি: | ঐচ্ছিক |
প্রকার: | পূর্ণসংখ্যা |
<ObjectEntryCount> উপাদান
একটি বস্তুতে অনুমোদিত সর্বোচ্চ সংখ্যক এন্ট্রি নির্দিষ্ট করে।
<ObjectEntryCount>15</ObjectEntryCount>
ডিফল্ট: | আপনি যদি এই উপাদানটি নির্দিষ্ট না করেন, অথবা যদি আপনি একটি ঋণাত্মক পূর্ণসংখ্যা উল্লেখ করেন, তাহলে সিস্টেমটি কোনো সীমা বলবৎ করে না। |
উপস্থিতি: | ঐচ্ছিক |
প্রকার: | পূর্ণসংখ্যা |
<ObjectEntryNameLength> উপাদান
একটি বস্তুর মধ্যে একটি সম্পত্তি নামের জন্য অনুমোদিত সর্বাধিক স্ট্রিং দৈর্ঘ্য নির্দিষ্ট করে৷
<ObjectEntryNameLength>50</ObjectEntryNameLength>
ডিফল্ট: | আপনি যদি এই উপাদানটি নির্দিষ্ট না করেন, অথবা যদি আপনি একটি ঋণাত্মক পূর্ণসংখ্যা উল্লেখ করেন, তবে সিস্টেমটি একটি সীমা প্রয়োগ করে না। |
উপস্থিতি: | ঐচ্ছিক |
প্রকার: | পূর্ণসংখ্যা |
<উৎস> উপাদান
JSON পেলোড আক্রমণের জন্য বার্তা স্ক্রীন করা হবে। এটি সাধারণত request
জন্য সেট করা হয়, কারণ আপনাকে সাধারণত ক্লায়েন্ট অ্যাপ থেকে অন্তর্মুখী অনুরোধগুলি যাচাই করতে হবে। message
সেট করা হলে, অনুরোধের প্রবাহের সাথে সংযুক্ত হলে এই উপাদানটি স্বয়ংক্রিয়ভাবে অনুরোধ বার্তাটির মূল্যায়ন করবে এবং প্রতিক্রিয়া প্রবাহের সাথে সংযুক্ত হলে প্রতিক্রিয়া বার্তাটি।
<Source>request</Source>
ডিফল্ট: | অনুরোধ |
উপস্থিতি: | ঐচ্ছিক |
প্রকার: | স্ট্রিং বৈধ মান: অনুরোধ, প্রতিক্রিয়া, বা বার্তা। |
<StringValueLength> উপাদান
একটি স্ট্রিং মানের জন্য অনুমোদিত সর্বোচ্চ দৈর্ঘ্য নির্দিষ্ট করে।
<StringValueLength>500</StringValueLength>
ডিফল্ট: | আপনি যদি এই উপাদানটি নির্দিষ্ট না করেন, অথবা যদি আপনি একটি ঋণাত্মক পূর্ণসংখ্যা উল্লেখ করেন, তবে সিস্টেমটি একটি সীমা প্রয়োগ করে না। |
উপস্থিতি: | ঐচ্ছিক |
প্রকার: | পূর্ণসংখ্যা |
ত্রুটি উল্লেখ
This section describes the fault codes and error messages that are returned and fault variables that are set by Edge when this policy triggers an error. This information is important to know if you are developing fault rules to handle faults. To learn more, see What you need to know about policy errors and Handling faults.
Runtime errors
These errors can occur when the policy executes.
Fault code | HTTP status | Cause | Fix |
---|---|---|---|
steps.jsonthreatprotection.ExecutionFailed |
500 | The JSONThreatProtection policy can throw many different types of ExecutionFailed errors. Most of these errors occur when a specific threshold set in the policy is exceeded. These types of errors include: object entry name length, object entry count, array element count, container depth, string string value length. This error also occurs when the payload contains an invalid JSON object. | build |
steps.jsonthreatprotection.SourceUnavailable |
500 |
This error occurs if the message
variable specified in the <Source> element is either:
|
build |
steps.jsonthreatprotection.NonMessageVariable |
500 |
This error occurs if the <Source> element is set to a variable which
is not of type
message.
|
build |
Deployment errors
None.
Fault variables
These variables are set when this policy triggers an error. For more information, see What you need to know about policy errors.
Variables | Where | Example |
---|---|---|
fault.name="fault_name" |
fault_name is the name of the fault, as listed in the Runtime errors table above. The fault name is the last part of the fault code. | fault.name Matches "SourceUnavailable" |
jsonattack.policy_name.failed |
policy_name is the user-specified name of the policy that threw the fault. | jsonattack.JTP-SecureRequest.failed = true |
Example error response
{ "fault": { "faultstring": "JSONThreatProtection[JPT-SecureRequest]: Execution failed. reason: JSONThreatProtection[JTP-SecureRequest]: Exceeded object entry name length at line 2", "detail": { "errorcode": "steps.jsonthreatprotection.ExecutionFailed" } } }
Example fault rule
<FaultRule name="JSONThreatProtection Policy Faults">
<Step>
<Name>AM-CustomErrorResponse</Name>
<Condition>(fault.name Matches "ExecutionFailed") </Condition>
</Step>
<Condition>(jsonattack.JPT-SecureRequest.failed = true) </Condition>
</FaultRule>
স্কিমাস
ব্যবহারের নোট
XML-ভিত্তিক পরিষেবাগুলির মতো, APIগুলি যেগুলি JavaScript অবজেক্ট নোটেশন (JSON) সমর্থন করে তা বিষয়বস্তু-স্তরের আক্রমণগুলির জন্য ঝুঁকিপূর্ণ৷ সাধারণ JSON আক্রমণগুলি এমন কাঠামো ব্যবহার করার চেষ্টা করে যা JSON পার্সারদের একটি পরিষেবা ক্র্যাশ করতে এবং অ্যাপ্লিকেশন-স্তরের অস্বীকৃতি-অফ-সার্ভিস আক্রমণকে প্ররোচিত করে। সমস্ত সেটিংস ঐচ্ছিক এবং সম্ভাব্য দুর্বলতার বিরুদ্ধে আপনার পরিষেবার প্রয়োজনীয়তা অপ্টিমাইজ করতে টিউন করা উচিত৷