Kebijakan JSONThreatProtection

Anda sedang melihat dokumentasi Apigee Edge.
Buka Dokumentasi Apigee X. info

Apa

Meminimalkan risiko yang ditimbulkan oleh serangan tingkat konten dengan memungkinkan Anda menentukan batas di berbagai Struktur JSON, seperti array dan string.

Video: Tonton video singkat untuk mempelajari lebih lanjut Kebijakan JSONThreatProtection memungkinkan Anda mengamankan API dari serangan tingkat konten.

Video: Tonton video singkat ini tentang platform API lintas-cloud Apigee.

Referensi elemen

Referensi elemen menjelaskan elemen dan atribut JSONThreatProtection lebih lanjut.

<JSONThreatProtection async="false" continueOnError="false" enabled="true" name="JSON-Threat-Protection-1">
   <DisplayName>JSONThreatProtection 1</DisplayName>
   <ArrayElementCount>20</ArrayElementCount>
   <ContainerDepth>10</ContainerDepth>
   <ObjectEntryCount>15</ObjectEntryCount>
   <ObjectEntryNameLength>50</ObjectEntryNameLength>
   <Source>request</Source>
   <StringValueLength>500</StringValueLength>
</JSONThreatProtection>

&lt;JSONThreatProtection&gt; atribut

<JSONThreatProtection async="false" continueOnError="false" enabled="true" name="JSON-Threat-Protection-1">

Tabel berikut menjelaskan atribut yang umum untuk semua elemen induk kebijakan:

Atribut Deskripsi Default Ketersediaan
name

Nama internal kebijakan. Nilai atribut name dapat berisi huruf, angka, spasi, tanda hubung, garis bawah, dan titik. Nilai ini tidak boleh melebihi 255 karakter.

Secara opsional, gunakan elemen <DisplayName> untuk memberi label kebijakan di editor proxy UI pengelolaan dengan nama natural language yang berbeda.

 T/A Wajib
continueOnError

Tetapkan ke false untuk menampilkan error saat kebijakan gagal. Diharapkan untuk sebagian besar kebijakan.

Setel ke true agar eksekusi alur dapat dilanjutkan bahkan setelah kebijakan gagal.

 salah Opsional
enabled

Setel ke true untuk menerapkan kebijakan.

Setel ke false untuk menonaktifkan kebijakan. Kebijakan ini tidak akan ditegakkan meskipun tetap terikat pada alur.

 true Opsional
async

Atribut ini tidak digunakan lagi.

 salah Tidak digunakan lagi

&lt;DisplayName&gt; elemen

Gunakan selain atribut name untuk memberi label kebijakan di editor proxy UI dengan nama natural language yang berbeda.

<DisplayName>Policy Display Name</DisplayName>
Default

T/A

Jika Anda menghapus elemen ini, nilai atribut name kebijakan akan menjadi data
Ketersediaan Opsional
Jenis String

&lt;ArrayElementCount&gt; elemen

Menentukan jumlah maksimum elemen yang diizinkan dalam array.

<ArrayElementCount>20</ArrayElementCount>
Default: Jika Anda tidak menetapkan elemen ini, atau jika Anda menetapkan bilangan bulat negatif, sistem akan tidak menerapkan batas.
Kehadiran: Opsional
Jenis: Bilangan Bulat

&lt;ContainerDepth&gt; elemen

Menentukan kedalaman pembatasan maksimum yang diizinkan, dengan container berupa objek atau array. Misalnya, array yang berisi objek yang berisi suatu objek akan menghasilkan pembatasan kedalaman 3.

<ContainerDepth>10</ContainerDepth>
Default: Jika Anda tidak menetapkan elemen ini, atau jika Anda menetapkan bilangan bulat negatif, sistem akan tidak memberlakukan batasan apa pun.
Kehadiran: Opsional
Jenis: Bilangan Bulat

&lt;ObjectEntryCount&gt; elemen

Menentukan jumlah maksimum entri yang diizinkan dalam objek.

<ObjectEntryCount>15</ObjectEntryCount>
Default: Jika Anda tidak menetapkan elemen ini, atau jika Anda menetapkan bilangan bulat negatif, sistem akan tidak memberlakukan batasan apa pun.
Kehadiran: Opsional
Jenis: Bilangan Bulat

&lt;ObjectEntryNameLength&gt; elemen

Menentukan panjang string maksimum yang diizinkan untuk nama properti dalam objek.

<ObjectEntryNameLength>50</ObjectEntryNameLength>
Default: Jika Anda tidak menetapkan elemen ini, atau jika Anda menetapkan bilangan bulat negatif, sistem akan tidak menerapkan batas.
Kehadiran: Opsional
Jenis: Bilangan Bulat

&lt;Source&gt; elemen

Pesan yang akan disaring untuk serangan payload JSON. Fungsi ini paling sering disetel ke request, karena Anda biasanya perlu memvalidasi permintaan masuk dari aplikasi klien. Jika ditetapkan ke message, elemen ini akan otomatis mengevaluasi pesan permintaan ketika dilampirkan ke alur permintaan dan pesan respons saat dilampirkan pada respons alur kerja.

<Source>request</Source>
Default: minta
Kehadiran: Opsional
Jenis:

String.

Nilai valid: permintaan, respons, atau pesan.

&lt;StringValueLength&gt; elemen

Menentukan panjang maksimum yang diizinkan untuk nilai string.

<StringValueLength>500</StringValueLength>
Default: Jika Anda tidak menetapkan elemen ini, atau jika Anda menetapkan bilangan bulat negatif, sistem akan tidak menerapkan batas.
Kehadiran: Opsional
Jenis: Bilangan Bulat

Referensi error

Bagian ini menjelaskan kode kesalahan dan pesan kesalahan yang dikembalikan dan variabel kesalahan yang disetel oleh Edge saat kebijakan ini memicu kesalahan. Informasi ini penting untuk diketahui jika Anda mengembangkan aturan kesalahan untuk menangani kesalahan. Untuk mempelajari lebih lanjut, lihat Yang perlu Anda ketahui tentang error kebijakan dan Penanganan kesalahan.

Error runtime

Error ini dapat terjadi saat kebijakan dijalankan.

Kode error Status HTTP Penyebab Perbaiki
steps.jsonthreatprotection.ExecutionFailed 500 Kebijakan JSONThreatProtection dapat menampilkan berbagai jenis error ExecutionFailed. Sebagian besar error ini terjadi saat batas tertentu yang ditetapkan dalam kebijakan terlampaui. Ini jenis kesalahan meliputi: panjang nama entri objek, jumlah entri objek, jumlah elemen array, kedalaman penampung, panjang nilai string string. Error ini juga terjadi jika payload berisi objek JSON yang tidak valid.
steps.jsonthreatprotection.SourceUnavailable 500 Error ini terjadi jika pesan variabel yang ditentukan dalam elemen <Source> adalah:
  • Di luar cakupan (tidak tersedia di alur tertentu tempat kebijakan dijalankan)
  • Bukan salah satu nilai yang valid request, response, atau message
steps.jsonthreatprotection.NonMessageVariable 500 Error ini terjadi jika elemen <Source> disetel ke variabel yang bukan jenis pesan.

Error saat deployment

Tidak ada.

Variabel kesalahan

Variabel ini ditetapkan saat kebijakan ini memicu error. Untuk informasi selengkapnya, lihat Yang perlu Anda ketahui tentang error kebijakan.

Variabel Di mana Contoh
fault.name="fault_name" fault_name adalah nama kesalahan, seperti yang tercantum dalam tabel Error runtime di atas. Nama kesalahan adalah bagian terakhir dari kode kesalahan. fault.name Matches "SourceUnavailable"
jsonattack.policy_name.failed policy_name adalah nama kebijakan yang ditentukan pengguna yang menampilkan kesalahan. jsonattack.JTP-SecureRequest.failed = true

Contoh respons error

{
  "fault": {
    "faultstring": "JSONThreatProtection[JPT-SecureRequest]: Execution failed. reason: JSONThreatProtection[JTP-SecureRequest]: Exceeded object entry name length at line 2",
    "detail": {
      "errorcode": "steps.jsonthreatprotection.ExecutionFailed"
    }
  }
}

Contoh aturan kesalahan

<FaultRule name="JSONThreatProtection Policy Faults">
    <Step>
        <Name>AM-CustomErrorResponse</Name>
        <Condition>(fault.name Matches "ExecutionFailed") </Condition>
    </Step>
    <Condition>(jsonattack.JPT-SecureRequest.failed = true) </Condition>
</FaultRule>

Skema

Catatan penggunaan

Seperti layanan berbasis XML, API yang mendukung notasi objek JavaScript (JSON) rentan terhadap dan serangan {i>content-level<i}. Serangan JSON sederhana mencoba menggunakan struktur yang membebani parser JSON untuk membuat layanan menjadi {i>crash<i} dan menyebabkan serangan {i>denial-of-service<i} tingkat aplikasi. Semua setelan opsional dan harus disesuaikan untuk mengoptimalkan persyaratan layanan Anda terhadap potensi kerentanan.

Topik terkait

Kebijakan JSONtoXML

Kebijakan XMLThreatProtection

Kebijakan RegularExpressionProtection