أنت تعرض مستندات Apigee Edge.
انتقل إلى
مستندات Apigee X. معلومات
المزايا
عالِج ثغرات XML وقلل من الهجمات على واجهة برمجة التطبيقات. اختياريًا، اكتشاف حمولة XML الهجمات بناءً على الحدود المضبوطة. الحماية من تهديدات XML باستخدام ما يلي المناهج:
- التحقق من صحة الرسائل باستخدام مخطط XML (
.xsd) - تقييم محتوى الرسائل لكلمات رئيسية أو أنماط معيّنة لاستبعادها
- رصد الرسائل التالفة أو التي تمت صياغتها بشكل غير صحيح قبل تحليلها
مرجع العنصر
يصف مرجع العنصر عناصر وسمات XMLThreatProtection .
<XMLThreatProtection async="false" continueOnError="false" enabled="true" name="XML-Threat-Protection-1"> <DisplayName>XML Threat Protection 1</DisplayName> <NameLimits> <Element>10</Element> <Attribute>10</Attribute> <NamespacePrefix>10</NamespacePrefix> <ProcessingInstructionTarget>10</ProcessingInstructionTarget> </NameLimits> <Source>request</Source> <StructureLimits> <NodeDepth>5</NodeDepth> <AttributeCountPerElement>2</AttributeCountPerElement> <NamespaceCountPerElement>3</NamespaceCountPerElement> <ChildCount includeComment="true" includeElement="true" includeProcessingInstruction="true" includeText="true">3</ChildCount> </StructureLimits> <ValueLimits> <Text>15</Text> <Attribute>10</Attribute> <NamespaceURI>10</NamespaceURI> <Comment>10</Comment> <ProcessingInstructionData>10</ProcessingInstructionData> </ValueLimits> </XMLThreatProtection>
<XMLThreatProtection> السمات
<XMLThreatProtection async="false" continueOnError="false" enabled="true" name="XML-Threat-Protection-1">
يصف الجدول التالي السمات المشتركة بين جميع العناصر الرئيسية للسياسة:
| السمة | الوصف | تلقائي | التواجد في المنزل |
|---|---|---|---|
name |
الاسم الداخلي للسياسة. يمكن لقيمة السمة يمكنك، إذا أردت، استخدام العنصر |
لا ينطبق | مطلوب |
continueOnError |
اضبط القيمة على يمكنك ضبط القيمة على |
خطأ | اختياري |
enabled |
اضبط القيمة على اضبط القيمة على |
صحيح | اختياري |
async |
تم إيقاف هذه السمة نهائيًا. |
خطأ | منهي العمل به |
<DisplayName> عنصر
استخدِمه مع السمة name لتصنيف السياسة في
إدارة خادم وكيل لواجهة المستخدم باسم مختلف بلغة طبيعية.
<DisplayName>Policy Display Name</DisplayName>
| تلقائي |
لا ينطبق إذا لم تستخدم هذا العنصر، سيتم ضبط قيمة السمة |
|---|---|
| التواجد في المنزل | اختياري |
| النوع | سلسلة |
<NameLimits> عنصر
تحدِّد هذه السياسة عدد الأحرف المسموح به التي يجب التحقّق منها وفرضها من خلال السياسة.
<NameLimits> <Element>10</Element> <Attribute>10</Attribute> <NamespacePrefix>10</NamespacePrefix> <ProcessingInstructionTarget>10</ProcessingInstructionTarget> </NameLimits>
| الإعداد التلقائي: | لا ينطبق |
| الحضور: | اختياري |
| النوع: | لا ينطبق |
<NameLimits>/<Element> عنصر
تحدِّد هذه السياسة حدًّا أقصى لعدد الأحرف المسموح به في أي اسم عنصر في ملف XML. جلسة المراجعة.
على سبيل المثال، إليك ملف XML التالي:
<book category="WEB"> <title>Learning XML</title> <author>Erik T. Ray</author> <year>2003</year> </book>
عند تحليل ملف XML أعلاه، يتم تحديد قيمة العنصر <Element> في السياسة.
سيتحقق المقتطف أدناه من صحة أسماء العناصر (book وtitle و
لا تتجاوز author وyear) 10 حرف.
<NameLimits> <Element>10</Element> <Attribute>10</Attribute> <NamespacePrefix>10</NamespacePrefix> <ProcessingInstructionTarget>10</ProcessingInstructionTarget> </NameLimits>
| الإعداد التلقائي: | إذا لم تحدّد حدًا، سيطبّق النظام قيمة تلقائية، وهي -1،
يعادلها النظام بلا حد. |
| الحضور: | اختياري |
| النوع: | عدد صحيح |
<NameLimits>/<Attribute> عنصر
تُحدِّد حدًا أقصى لعدد الأحرف المسموح به في أي اسم سمة في مستند XML.
على سبيل المثال، إليك ملف XML التالي:
<book category="WEB"> <title>Learning XML</title> <author>Erik T. Ray</author> <year>2003</year> </book>
عند تحليل ملف XML أعلاه، يتم تحديد قيمة العنصر <Attribute> في السياسة.
سيتأكد المقتطف أدناه من أن اسم السمة category لا يتجاوز
10 حرف.
<NameLimits> <Element>10</Element> <Attribute>10</Attribute> <NamespacePrefix>10</NamespacePrefix> <ProcessingInstructionTarget>10</ProcessingInstructionTarget> </NameLimits>
| الإعداد التلقائي: | إذا لم تحدّد حدًا، سيطبّق النظام قيمة تلقائية، وهي -1،
يعادلها النظام بلا حد. |
| الحضور: | اختياري |
| النوع: | عدد صحيح |
<NameLimits>/<NamespacePrefix> عنصر
تحدد حدًا أقصى لعدد الأحرف المسموح بها في بادئة مساحة الاسم في مستند XML.
على سبيل المثال، إليك ملف XML التالي:
<ns1:myelem xmlns:ns1="http://ns1.com"/>
عند تحليل XML أعلاه، يتم تحديد قيمة العنصر <NamespacePrefix> في
سيتحقق مقتطف السياسة أدناه من أن بادئة مساحة الاسم ns1 لا تتجاوز
10 حرف.
<NameLimits> <Element>10</Element> <Attribute>10</Attribute> <NamespacePrefix>10</NamespacePrefix> <ProcessingInstructionTarget>10</ProcessingInstructionTarget> </NameLimits>
| الإعداد التلقائي: | إذا لم تحدّد حدًا، سيطبّق النظام قيمة تلقائية، وهي -1،
يعادلها النظام بلا حد. |
| الحضور: | اختياري |
| النوع: | عدد صحيح |
<NameLimits>/<ProcessingInstructionTarget> عنصر
تُحدِّد حدًا أقصى لعدد الأحرف المسموح به في استهداف أي تعليمات المعالجة في مستند XML.
على سبيل المثال، إليك ملف XML التالي:
<?xml-stylesheet type="text/xsl" href="style.xsl"?>
عند تحليل ملف XML أعلاه، يتم استخدام العنصر <ProcessingInstructionTarget>
في مقتطف السياسة أدناه للتحقق من صحة هدف تعليمات المعالجة
لا يتجاوز xml-stylesheet 10 حرف.
<NameLimits> <Element>10</Element> <Attribute>10</Attribute> <NamespacePrefix>10</NamespacePrefix> <ProcessingInstructionTarget>10</ProcessingInstructionTarget> </NameLimits>
| الإعداد التلقائي: | إذا لم تحدّد حدًا، سيطبّق النظام قيمة تلقائية، وهي -1،
يعادلها النظام بلا حد. |
| الحضور: | اختياري |
| النوع: | عدد صحيح |
<Source> عنصر
الرسالة التي سيتم فحصها بسبب هجمات حمولة XML. يتم تعيين هذا بشكل شائع على
request، إذ يجب عادةً التحقّق من صحة الطلبات الواردة من تطبيقات العميل.
عند ضبط هذا العنصر على message، سيقيّم هذا العنصر تلقائيًا رسالة الطلب.
عندما يكون مرتبطًا بتدفق الطلب ورسالة الردّ عندما يكون مرفقًا بالردّ
التدفق.
<Source>request</Source>
| الإعداد التلقائي: | طلب |
| الحضور: | اختياري |
| النوع: |
سلسلة. اختَر من بين |
<StructuralLimits> عنصر
تحدِّد هذه السياسة الحدود الهيكلية التي سيتم التحقّق منها وفرضها من خلال السياسة.
<StructureLimits> <NodeDepth>5</NodeDepth> <AttributeCountPerElement>2</AttributeCountPerElement> <NamespaceCountPerElement>3</NamespaceCountPerElement> <ChildCount includeComment="true" includeElement="true" includeProcessingInstruction="true" includeText="true">3</ChildCount> </StructureLimits>
| الإعداد التلقائي: | لا ينطبق |
| الحضور: | اختياري |
| النوع: | لا ينطبق |
<StructuralLimits>/<NodeDepth> عنصر
تحدّد هذه السمة الحدّ الأقصى لعمق العقدة المسموح به في ملف XML.
<StructureLimits> <NodeDepth>5</NodeDepth> <AttributeCountPerElement>2</AttributeCountPerElement> <NamespaceCountPerElement>3</NamespaceCountPerElement> <ChildCount includeComment="true" includeElement="true" includeProcessingInstruction="true" includeText="true">3</ChildCount> </StructureLimits>
| الإعداد التلقائي: | إذا لم تحدّد حدًا، سيطبّق النظام قيمة تلقائية، وهي -1،
يعادلها النظام بلا حد. |
| الحضور: | اختياري |
| النوع: |
عدد صحيح |
<StructuralLimits>/<AttributeCountPerElement> عنصر
تحدد هذه السمة الحد الأقصى لعدد السمات المسموح بها لأي عنصر.
على سبيل المثال، إليك ملف XML التالي:
<book category="WEB"> <title>Learning XML</title> <author>Erik T. Ray</author> <year>2003</year> </book>
<AttributeCountPerElement>.
في مقتطف السياسة أدناه للتحقق من صحة العناصر book وtitle
لا يحتوي كل من author وyear على أكثر من 2 سمة لكل منهما.
لاحظ أنه لا يتم احتساب السمات المستخدمة لتحديد مساحات الاسم.
<StructureLimits> <NodeDepth>5</NodeDepth> <AttributeCountPerElement>2</AttributeCountPerElement> <NamespaceCountPerElement>3</NamespaceCountPerElement> <ChildCount includeComment="true" includeElement="true" includeProcessingInstruction="true" includeText="true">3</ChildCount> </StructureLimits>
| الإعداد التلقائي: | إذا لم تحدّد حدًا، سيطبّق النظام قيمة تلقائية، وهي -1،
يعادلها النظام بلا حد. |
| الحضور: | اختياري |
| النوع: |
عدد صحيح |
<StructuralLimits>/<NameSpaceCountPerElement> عنصر
تُحدِّد الحد الأقصى لعدد تعريفات مساحة الاسم المسموح بها لأي عنصر.
على سبيل المثال، إليك ملف XML التالي:
<e1 attr1="val1" attr2="val2">
<e2 xmlns="http://apigee.com" xmlns:yahoo="http://yahoo.com" one="1" yahoo:two="2"/>
</e1>عند تحليل ملف XML أعلاه، يتم تحديد قيمة العنصر <NamespaceCountPerElement>
في مقتطف السياسة أدناه سيتم التحقّق من صحة العنصرَين e1 وe2
أكثر من تعريفات مساحة الاسم 2 لكل منهما. في هذه الحالة، لا يتضمن <e1> تعريفات لمساحة الاسم
يشتمل <e2> على معرّفي مساحة اسم.
التعريفات: xmlns="http://apigee.com"
xmlns:yahoo="http://yahoo.com"
<StructureLimits> <NodeDepth>5</NodeDepth> <AttributeCountPerElement>2</AttributeCountPerElement> <NamespaceCountPerElement>3</NamespaceCountPerElement> <ChildCount includeComment="true" includeElement="true" includeProcessingInstruction="true" includeText="true">3</ChildCount> </StructureLimits>
| الإعداد التلقائي: | إذا لم تحدّد حدًا، سيطبّق النظام قيمة تلقائية، وهي -1،
يعادلها النظام بلا حد. |
| الحضور: | اختياري |
| النوع: |
عدد صحيح |
<StructuralLimits>/<ChildCount> عنصر
تحدّد هذه السياسة الحد الأقصى لعدد العناصر الثانوية المسموح بها لأي عنصر.
<StructureLimits> <NodeDepth>5</NodeDepth> <AttributeCountPerElement>2</AttributeCountPerElement> <NamespaceCountPerElement>3</NamespaceCountPerElement> <ChildCount includeComment="true" includeElement="true" includeProcessingInstruction="true" includeText="true">3</ChildCount> </StructureLimits>
| الإعداد التلقائي: | إذا لم تحدّد حدًا، سيطبّق النظام قيمة تلقائية، وهي -1،
يعادلها النظام بلا حد. |
| الحضور: | اختياري |
| النوع: |
عدد صحيح |
السمات
| السمة | تلقائي | التواجد في المنزل |
|---|---|---|
| includeComment | صحيح | اختياري |
| includeElement | صحيح | اختياري |
| includeProcessingInstructions | صحيح | اختياري |
| includeText | صحيح | اختياري |
<ValueLimits> عنصر
تُحدِّد هذه السياسة عدد الأحرف المسموح به للقيم المطلوب التحقّق منها وفرضها من خلال السياسة.
<ValueLimits> <Text>15</Text> <Attribute>10</Attribute> <NamespaceURI>10</NamespaceURI> <Comment>10</Comment> <ProcessingInstructionData>10</ProcessingInstructionData> </ValueLimits>
| الإعداد التلقائي: | لا ينطبق |
| الحضور: | اختياري |
| النوع: |
لا ينطبق |
<ValueLimits>/<Text> عنصر
تحدّد هذه السمة حدًّا أقصى لعدد الأحرف المسموح به لأي عُقد نصية متوفّرة في مستند XML.
على سبيل المثال، إليك ملف XML التالي:
<book category="WEB"> <title>Learning XML</title> <author>Erik T. Ray</author> <year>2003</year> </book>
<Text> في السياسة.
سيتحقق المقتطف أدناه من أن قيم نص العنصر Learning XML وErik T.
Ray, و2003 لا تتجاوز 15 من الأحرف.
<ValueLimits> <Text>15</Text> <Attribute>10</Attribute> <NamespaceURI>10</NamespaceURI> <Comment>10</Comment> <ProcessingInstructionData>10</ProcessingInstructionData> </ValueLimits>
| الإعداد التلقائي: | إذا لم تحدّد حدًا، سيطبّق النظام قيمة تلقائية، وهي -1،
يعادلها النظام بلا حد. |
| الحضور: | اختياري |
| النوع: |
عدد صحيح |
<ValueLimits>/<Attribute> عنصر
تحدّد هذه السمة حدًّا لعدد الأحرف المسموح به لأي قيم سمات متوفّرة في مستند XML.
على سبيل المثال، إليك ملف XML التالي:
<book category="WEB"> <title>Learning XML</title> <author>Erik T. Ray</author> <year>2003</year> </book>
<Attribute> في السياسة.
سيتأكد المقتطف أدناه من أن قيمة السمة WEB لا تتجاوز
10 حرف.
<ValueLimits> <Text>15</Text> <Attribute>10</Attribute> <NamespaceURI>10</NamespaceURI> <Comment>10</Comment> <ProcessingInstructionData>10</ProcessingInstructionData> </ValueLimits>
| الإعداد التلقائي: | إذا لم تحدّد حدًا، سيطبّق النظام قيمة تلقائية، وهي -1،
يعادلها النظام بلا حد. |
| الحضور: | اختياري |
| النوع: |
عدد صحيح |
<ValueLimits>/<NamespaceURI> عنصر
تحدّد هذه السياسة حدًّا أقصى لعدد الأحرف المسموح به لأي معرّفات موارد منتظمة (URI) لمساحة الاسم في مستند XML.
على سبيل المثال، إليك ملف XML التالي:
<ns1:myelem xmlns:ns1="http://ns1.com"/>
<NamespaceURI> في
سيتحقق مقتطف السياسة أدناه من تنفيذ قيمة معرّف الموارد المنتظم (URI) لمساحة الاسم http://ns1.com
لا تتجاوز 10 من الأحرف.
<ValueLimits> <Text>15</Text> <Attribute>10</Attribute> <NamespaceURI>10</NamespaceURI> <Comment>10</Comment> <ProcessingInstructionData>10</ProcessingInstructionData> </ValueLimits>
| الإعداد التلقائي: | إذا لم تحدّد حدًا، سيطبّق النظام قيمة تلقائية، وهي -1،
يعادلها النظام بلا حد. |
| الحضور: | اختياري |
| النوع: |
عدد صحيح |
<ValueLimits>/<Comment> عنصر
تحدّد هذه السياسة حدًّا أقصى لعدد الأحرف المسموح به لأي تعليقات متوفّرة في مستند XML.
على سبيل المثال، إليك ملف XML التالي:
<book category="WEB"> <!-- This is a comment --> <title>Learning XML</title> <author>Erik T. Ray</author> <year>2003</year> </book>
<Comment> في السياسة.
سيتحقق المقتطف أدناه من أن نص التعليق This is a comment لا يتجاوز
10 حرف.
<ValueLimits> <Text>15</Text> <Attribute>10</Attribute> <NamespaceURI>10</NamespaceURI> <Comment>10</Comment> <ProcessingInstructionData>10</ProcessingInstructionData> </ValueLimits>
| الإعداد التلقائي: | إذا لم تحدّد حدًا، سيطبّق النظام قيمة تلقائية، وهي -1،
يعادلها النظام بلا حد. |
| الحضور: | اختياري |
| النوع: |
عدد صحيح |
<ValueLimits>/<ProcessingInstructionData> عنصر
تحدّد هذه السياسة حدًّا أقصى لعدد الأحرف المسموح به لأي نص تعليمات معالجة متوفّر في ملف XML جلسة المراجعة.
على سبيل المثال، إليك ملف XML التالي:
<?xml-stylesheet type="text/xsl" href="style.xsl"?>
<ProcessingInstructionData>.
في مقتطف السياسة أدناه للتحقق من صحة نص تعليمات المعالجة
لا يتجاوز طول type="text/xsl" href="style.xsl" 10 من الأحرف.
<ValueLimits> <Text>15</Text> <Attribute>10</Attribute> <NamespaceURI>10</NamespaceURI> <Comment>10</Comment> <ProcessingInstructionData>10</ProcessingInstructionData> </ValueLimits>
| الإعداد التلقائي: | إذا لم تحدّد حدًا، سيطبّق النظام قيمة تلقائية، وهي -1،
يعادلها النظام بلا حد. |
| الحضور: | اختياري |
| النوع: |
عدد صحيح |
مرجع الخطأ
This section describes the fault codes and error messages that are returned and fault variables that are set by Edge when this policy triggers an error. This information is important to know if you are developing fault rules to handle faults. To learn more, see What you need to know about policy errors and Handling faults.
Runtime errors
These errors can occur when the policy executes.
| Fault code | HTTP status | Cause | Fix |
|---|---|---|---|
steps.xmlthreatprotection.ExecutionFailed |
500 | The XMLThreatProtection policy can throw many different types of ExecutionFailed errors. Most of these errors occur when a specific threshold set in the policy is exceeded. These types of errors include: element name length, child count, node depth, attribute count, attribute name length, and many others. You can see the complete list in the XMLThreatProtection policy runtime error troubleshooting topic. | build |
steps.xmlthreatprotection.InvalidXMLPayload |
500 |
This error occurs if the input message payload specified by the XMLThreatProtection policy's <Source> element is not a valid XML Document.
|
build |
steps.xmlthreatprotection.SourceUnavailable |
500 |
This error occurs if the message
variable specified in the <Source> element is either:
|
build |
steps.xmlthreatprotection.NonMessageVariable |
500 |
This error occurs if the <Source> element is set to a variable which
is not of type
message.
|
build |
Notes:
- The error name ExecutionFailed is the default error name and will be returned regardless of the type of error detected; however, this default can be changed by setting an organization-level property. When this property is set, the error name will reflect the actual error. For example, "TextExceeded" or "AttrValueExceeded". See Usage Notes for details.
- The 500 HTTP status is the default; however, the HTTP Status can be changed to 400 for request flow faults by setting an organization-level property. See Usage Notes for details.
Deployment errors
None.
Fault variables
These variables are set when a runtime error occurs. For more information, see What you need to know about policy errors.
| Variables | Where | Example |
|---|---|---|
fault.name="fault_name" |
fault_name is the name of the fault, as listed in the Runtime errors table above. The fault name is the last part of the fault code. | fault.name Matches "SourceUnavailable" |
xmlattack.policy_name.failed |
policy_name is the user-specified name of the policy that threw the fault. | xmlattack.XPT-SecureRequest.failed = true |
Example error response
{ "fault": { "faultstring": "XMLThreatProtection[XPT-SecureRequest]: Execution failed. reason: XMLThreatProtection[XTP-SecureRequest]: Exceeded object entry name length at line 2", "detail": { "errorcode": "steps.xmlthreatprotection.ExecutionFailed" } } }
Example fault rule
<FaultRule name="XML Threat Protection Policy Faults">
<Step>
<Name>AM-CustomErrorResponse</Name>
<Condition>(fault.name Matches "ExecutionFailed") </Condition>
</Step>
<Condition>(xmlattack.XPT-SecureRequest.failed = true) </Condition>
</FaultRule>المخططات
ملاحظات الاستخدام
يتعرض أي خادم يتلقى بيانات عبر الإنترنت للهجوم، سواء كان ضارًا أم غير مقصود. تستفيد بعض الهجمات من مرونة XML من خلال إنشاء مستندات غير صالحة تحتوي على احتمالية اختراق الأنظمة الخلفية. يمكن لمستندات XML التالفة أو المعقدة للغاية تخصيص الخوادم ذاكرة أكبر مما هو متاح، مما يؤدي إلى استهلاك وحدة المعالجة المركزية (CPU) وموارد الذاكرة، وتعطل المحللين اللغويين، وتعطيل معالجة الرسائل وإنشاء الملفات على مستوى التطبيق بصورة عامة هجمات الحرمان من الخدمات.
إعدادات خطأ الحماية من التهديدات
معلومات مهمة في حال إنشاء قواعد FaultRules لهذه السياسة: من خلال
الإعداد التلقائي، تعرض Edge رمز حالة "خطأ في الخادم الداخلي HTTP 500" وخطأ ExecutionFound (تعذّر التنفيذ).
إذا لم تتجاوز رسالة سياسة "الحماية من التهديدات" بتنسيق JSON أو XML. يمكنك تغيير
سلوك الخطأ هذا في أي موقع جديد على مستوى المؤسسة. عند تعيين المؤسسة
وتكون الخاصية features.isPolicyHttpStatusEnabled على true، فيما يلي
:
- الطلب: مع إرفاق سياسة الحماية من التهديدات إلى أي عملية طلب، يتم عرض الرسائل غير الصالحة. عرض رمز حالة "400 طلب سيئ"، إلى جانب خطأ متعلق بالسياسة (بدلاً من مجرد التنفيذ الذي تعذّر تنفيذه).
- الرد: مع إرفاق سياسة حماية من التهديدات في أي مسار استجابة، يتم عرض الرسائل غير الصالحة لا يزال يعرض رمز حالة "خطأ في الخادم الداخلي 500"، وأحد يتم طرح رموز خطأ السياسة المقابلة (بدلاً من مجرد تنفيذ الفشل).
على عملاء Cloud التواصل مع Apigee Edge Support لإعداد خاصية المؤسسة.