Zasada JSONThreatProtection

Przeglądasz dokumentację Apigee Edge.
Przejdź do Dokumentacja Apigee X. informacje.

Co

Minimalizuje ryzyko związane z atakami na poziomie treści, umożliwiając określenie limitów dla różnych struktury JSON, np. tablice i ciągi tekstowe.

Film: obejrzyj krótki film, aby dowiedzieć się więcej o tym, jak Zasada JSONThreatProtection umożliwia zabezpieczanie interfejsów API przed atakami na poziomie treści.

Film: obejrzyj ten krótki film o platformie Apigee API obejmującej różne chmury.

Odwołanie do elementu

Dokumentacja elementu opisuje elementy i atrybuty obiektu JSONThreatProtection .

<JSONThreatProtection async="false" continueOnError="false" enabled="true" name="JSON-Threat-Protection-1">
   <DisplayName>JSONThreatProtection 1</DisplayName>
   <ArrayElementCount>20</ArrayElementCount>
   <ContainerDepth>10</ContainerDepth>
   <ObjectEntryCount>15</ObjectEntryCount>
   <ObjectEntryNameLength>50</ObjectEntryNameLength>
   <Source>request</Source>
   <StringValueLength>500</StringValueLength>
</JSONThreatProtection>

&lt;JSONThreatProtection&gt; atrybuty

<JSONThreatProtection async="false" continueOnError="false" enabled="true" name="JSON-Threat-Protection-1">

W tej tabeli opisano atrybuty wspólne dla wszystkich elementów nadrzędnych zasad:

Atrybut Opis Domyślny Obecność
name

Wewnętrzna nazwa zasady. Wartość atrybutu name może zawierać litery, cyfry, spacje, łączniki, podkreślenia i kropki. Ta wartość nie może przekracza 255 znaków.

Opcjonalnie możesz użyć elementu <DisplayName> do oznaczenia zasady jako edytor proxy interfejsu zarządzania z inną nazwą w języku naturalnym.

 Nie dotyczy Wymagane
continueOnError

Ustaw jako false, aby w przypadku niepowodzenia zasady zwracany był błąd. To normalne w przypadku większości zasad.

Ustaw jako true, aby wykonywanie przepływu było kontynuowane nawet po zastosowaniu zasady niepowodzenie.

 fałsz Opcjonalnie
enabled

Aby egzekwować zasadę, ustaw wartość true.

Aby wyłączyć zasadę, ustaw wartość false. Te zasady nie będą jest wymuszane nawet wtedy, gdy jest ono połączone z przepływem.

 prawda Opcjonalnie
async

Ten atrybut został wycofany.

 fałsz Wycofano

&lt;DisplayName&gt; element

Używaj oprócz atrybutu name do oznaczania zasady w edytor proxy interfejsu zarządzania z inną nazwą w języku naturalnym.

<DisplayName>Policy Display Name</DisplayName>
Domyślny

Nie dotyczy

Jeśli pominiesz ten element, atrybut name zasady otrzyma wartość .
Obecność Opcjonalnie
Typ Ciąg znaków

&lt;ArrayElementCount&gt; element

Określa maksymalną dozwoloną liczbę elementów w tablicy.

<ArrayElementCount>20</ArrayElementCount>
Domyślne: Jeśli nie określisz tego elementu lub podasz ujemną liczbę całkowitą, system nie narzuca limitu.
Obecność: Opcjonalnie
Typ: Liczba całkowita

&lt;ContainerDepth&gt; element

Określa maksymalną dopuszczalną głębokość izolacji, gdzie kontenery są obiektami lub tablicami. Na przykład tablica zawierająca obiekt, który zawiera obiekt, spowodowałaby ograniczenie głębokość 3.

<ContainerDepth>10</ContainerDepth>
Domyślne: Jeśli nie określisz tego elementu lub podasz ujemną liczbę całkowitą, system nie wymusza żadnych limitów.
Obecność: Opcjonalnie
Typ: Liczba całkowita

&lt;ObjectEntryCount&gt; element

Określa maksymalną dozwoloną liczbę wpisów w obiekcie.

<ObjectEntryCount>15</ObjectEntryCount>
Domyślne: Jeśli nie określisz tego elementu lub podasz ujemną liczbę całkowitą, system nie wymusza żadnych limitów.
Obecność: Opcjonalnie
Typ: Liczba całkowita

&lt;ObjectEntryNameLength&gt; element

Określa maksymalną dozwoloną długość ciągu znaków dla nazwy właściwości w obiekcie.

<ObjectEntryNameLength>50</ObjectEntryNameLength>
Domyślne: Jeśli nie określisz tego elementu lub podasz ujemną liczbę całkowitą, system nie narzuca limitu.
Obecność: Opcjonalnie
Typ: Liczba całkowita

&lt;Source&gt; element

Komunikat filtrowany pod kątem ataków ładunku JSON. Najczęściej jest to wartość request, ponieważ zwykle trzeba weryfikować żądania przychodzące z aplikacji klienckich. Gdy ustawisz wartość message, ten element automatycznie sprawdzi wiadomość z prośbą. po dołączeniu do procesu żądania i komunikatu z odpowiedzią (po dołączeniu do odpowiedzi). przepływu danych.

<Source>request</Source>
Domyślne: żądanie
Obecność: Opcjonalnie
Typ:

Ciąg tekstowy.

Prawidłowe wartości: request, response lub message.

&lt;StringValueLength&gt; element

Określa maksymalną dozwoloną długość ciągu znaków.

<StringValueLength>500</StringValueLength>
Domyślne: Jeśli nie określisz tego elementu lub podasz ujemną liczbę całkowitą, system nie narzuca limitu.
Obecność: Opcjonalnie
Typ: Liczba całkowita

Informacje o błędzie

W tej sekcji opisano kody błędów i komunikaty o błędach, które są zwracane, oraz zmienne błędów ustawiane przez Edge, gdy ta zasada wyzwala błąd. Warto o tym wiedzieć, jeśli rozwijasz reguły błędów, aby obsługi błędów. Więcej informacji znajdziesz w artykule Co musisz wiedzieć o błędach związanych z zasadami i postępowaniu z błędami

Błędy w czasie wykonywania

Te błędy mogą wystąpić podczas wykonywania zasady.

Kod błędu Stan HTTP Przyczyna Napraw
steps.jsonthreatprotection.ExecutionFailed 500 Zasada JSONThreatProtection może zgłaszać wiele różnych typów błędów ExecutionFailed. Większość z tych błędów występuje po przekroczeniu określonego progu ustawionego w zasadzie. Te typy błędów to między innymi: długość nazwy wpisu obiektu, liczba wpisów obiektu, liczba elementów tablicy, głębokość kontenera, długość wartości ciągu znaków. Ten błąd występuje też wtedy, gdy ładunek zawiera nieprawidłowy obiekt JSON.
steps.jsonthreatprotection.SourceUnavailable 500 Ten błąd występuje, jeśli komunikat określona w elemencie <Source> to:
    .
  • Poza zakresem (niedostępne w konkretnym procesie, w którym są realizowane zasady)
  • Nie jest jedną z prawidłowych wartości request, response, lub message
steps.jsonthreatprotection.NonMessageVariable 500 Ten błąd występuje, jeśli element <Source> jest ustawiony na zmienną, która jest innego typu wiadomość.

Błędy wdrażania

Brak.

Zmienne błędów

Te zmienne są ustawiane, gdy ta zasada wywołuje błąd. Więcej informacji znajdziesz w artykule Podstawowe informacje o błędach związanych z naruszeniem zasad.

Zmienne Gdzie Przykład
fault.name="fault_name" fault_name to nazwa błędu podana w tabeli Błędy czasu działania powyżej. Nazwa błędu to ostatnia część kodu błędu. fault.name Matches "SourceUnavailable"
jsonattack.policy_name.failed policy_name to określona przez użytkownika nazwa zasady, która spowodowała błąd. jsonattack.JTP-SecureRequest.failed = true

Przykładowa odpowiedź na błąd

{
  "fault": {
    "faultstring": "JSONThreatProtection[JPT-SecureRequest]: Execution failed. reason: JSONThreatProtection[JTP-SecureRequest]: Exceeded object entry name length at line 2",
    "detail": {
      "errorcode": "steps.jsonthreatprotection.ExecutionFailed"
    }
  }
}

Przykładowa reguła błędu

<FaultRule name="JSONThreatProtection Policy Faults">
    <Step>
        <Name>AM-CustomErrorResponse</Name>
        <Condition>(fault.name Matches "ExecutionFailed") </Condition>
    </Step>
    <Condition>(jsonattack.JPT-SecureRequest.failed = true) </Condition>
</FaultRule>

Schematy

Zastosowanie

Podobnie jak usługi oparte na formacie XML, interfejsy API obsługujące format JSON (JavaScript Object Notation) są podatne na ataków na poziomie treści. Proste ataki JSON polegają na użyciu struktur, które przeciążają parsery JSON może powodować awarie usługi i wywoływać ataki typu DoS. Wszystkie ustawienia są jest opcjonalny i należy go dostosować, aby zoptymalizować wymagania usługi pod kątem potencjalnych Luki w zabezpieczeniach.

Powiązane artykuły

Zasada JSONtoXML

Zasada XMLThreatProtection

Zasada RegularExpressionProtection