นโยบาย XMLThreatProtection

คุณกำลังดูเอกสารประกอบ Apigee Edge
ไปที่ เอกสารประกอบเกี่ยวกับ Apigee X. ข้อมูล

อะไร

แก้ไขช่องโหว่ของ XML และลดการโจมตี API ของคุณ ตรวจหาเพย์โหลด XML (ไม่บังคับ) การโจมตีตามขีดจำกัดที่กำหนดค่าไว้ คัดกรองตามภัยคุกคาม XML โดยใช้ข้อมูลต่อไปนี้ ดังต่อไปนี้

• ตรวจสอบความถูกต้องของข้อความโดยใช้สคีมา XML (.xsd)
• ประเมินเนื้อหาข้อความสำหรับคีย์เวิร์ดหรือรูปแบบที่เจาะจงที่จะยกเว้น
• ตรวจหาข้อความที่เสียหายหรือมีรูปแบบไม่ถูกต้องก่อนแยกวิเคราะห์ข้อความ

การอ้างอิงองค์ประกอบ

การอ้างอิงองค์ประกอบจะอธิบายองค์ประกอบและแอตทริบิวต์ของ XMLThreatProtection

<XMLThreatProtection async="false" continueOnError="false" enabled="true" name="XML-Threat-Protection-1">
   <DisplayName>XML Threat Protection 1</DisplayName>
   <NameLimits>
      <Element>10</Element>
      <Attribute>10</Attribute>
      <NamespacePrefix>10</NamespacePrefix>
      <ProcessingInstructionTarget>10</ProcessingInstructionTarget>
   </NameLimits>
   <Source>request</Source>
   <StructureLimits>
      <NodeDepth>5</NodeDepth>
      <AttributeCountPerElement>2</AttributeCountPerElement>
      <NamespaceCountPerElement>3</NamespaceCountPerElement>
      <ChildCount includeComment="true" includeElement="true" includeProcessingInstruction="true" includeText="true">3</ChildCount>
   </StructureLimits>
   <ValueLimits>
      <Text>15</Text>
      <Attribute>10</Attribute>
      <NamespaceURI>10</NamespaceURI>
      <Comment>10</Comment>
      <ProcessingInstructionData>10</ProcessingInstructionData>
   </ValueLimits> 
</XMLThreatProtection>

<XMLThreatProtection> แอตทริบิวต์

<XMLThreatProtection async="false" continueOnError="false" enabled="true" name="XML-Threat-Protection-1"> 

ตารางต่อไปนี้อธิบายแอตทริบิวต์ทั่วไปในองค์ประกอบระดับบนสุดของนโยบายทั้งหมด

<DisplayName> องค์ประกอบ

ใช้เพิ่มเติมจากแอตทริบิวต์ name เพื่อติดป้ายกำกับนโยบายใน เครื่องมือแก้ไขพร็อกซี UI การจัดการด้วยชื่อที่เป็นภาษาธรรมชาติต่างกัน

<DisplayName>Policy Display Name</DisplayName>

<NameLimits> องค์ประกอบ

ระบุจำนวนอักขระสูงสุดที่จะตรวจสอบและบังคับใช้โดยนโยบาย

<NameLimits>
   <Element>10</Element>
   <Attribute>10</Attribute>
   <NamespacePrefix>10</NamespacePrefix>
   <ProcessingInstructionTarget>10</ProcessingInstructionTarget>     
</NameLimits>

<NameLimits>/<Element> องค์ประกอบ

ระบุขีดจำกัดจำนวนอักขระสูงสุดที่อนุญาตในชื่อองค์ประกอบใน XML เอกสาร

ตัวอย่างเช่น ลองใช้ XML ต่อไปนี้

<book category="WEB">
   <title>Learning XML</title>
   <author>Erik T. Ray</author>
   <year>2003</year>
</book>

เมื่อวิเคราะห์ XML ข้างต้น ค่าองค์ประกอบ <Element> ในนโยบาย ข้อมูลโค้ดด้านล่างจะตรวจสอบว่าชื่อองค์ประกอบ (book , title, author และ year) ต้องไม่เกิน 10 อักขระ

<NameLimits>
   <Element>10</Element>
   <Attribute>10</Attribute>
   <NamespacePrefix>10</NamespacePrefix>
   <ProcessingInstructionTarget>10</ProcessingInstructionTarget>     
</NameLimits>

<NameLimits>/<Attribute> องค์ประกอบ

ระบุขีดจำกัดจำนวนอักขระสูงสุดที่อนุญาตในชื่อแอตทริบิวต์ใน เอกสาร XML

ตัวอย่างเช่น ลองใช้ XML ต่อไปนี้

<book category="WEB">
   <title>Learning XML</title>
   <author>Erik T. Ray</author>
   <year>2003</year>
</book>

เมื่อวิเคราะห์ XML ข้างต้น ค่าองค์ประกอบ <Attribute> ในนโยบาย ตัวอย่างข้อมูลด้านล่างจะตรวจสอบว่าชื่อแอตทริบิวต์ category ไม่เกิน 10 อักขระ

<NameLimits>
   <Element>10</Element>
   <Attribute>10</Attribute>
   <NamespacePrefix>10</NamespacePrefix>
   <ProcessingInstructionTarget>10</ProcessingInstructionTarget>     
</NameLimits>

<NameLimits>/<NamespacePrefix> องค์ประกอบ

ระบุขีดจำกัดจำนวนอักขระสูงสุดที่อนุญาตในคำนำหน้าเนมสเปซใน เอกสาร XML

ตัวอย่างเช่น ลองใช้ XML ต่อไปนี้

<ns1:myelem xmlns:ns1="http://ns1.com"/>

เมื่อวิเคราะห์ XML ข้างต้น ค่าขององค์ประกอบ <NamespacePrefix> ใน ตัวอย่างนโยบายด้านล่างจะตรวจสอบว่าค่านำหน้าเนมสเปซ ns1 ไม่เกิน 10 อักขระ

<NameLimits>
   <Element>10</Element>
   <Attribute>10</Attribute>
   <NamespacePrefix>10</NamespacePrefix>
   <ProcessingInstructionTarget>10</ProcessingInstructionTarget>     
</NameLimits>

<NameLimits>/<ProcessingInstructionTarget> องค์ประกอบ

ระบุขีดจำกัดจำนวนอักขระสูงสุดที่อนุญาตในเป้าหมาย วิธีการประมวลผลข้อมูลในเอกสาร XML

ตัวอย่างเช่น ลองใช้ XML ต่อไปนี้

<?xml-stylesheet type="text/xsl" href="style.xsl"?>

เมื่อวิเคราะห์ XML ด้านบน องค์ประกอบ <ProcessingInstructionTarget> ในข้อมูลโค้ดนโยบายด้านล่างจะตรวจสอบว่าเป้าหมายวิธีการประมวลผล xml-stylesheet ต้องมีความยาวไม่เกิน 10 อักขระ

<NameLimits>
   <Element>10</Element>
   <Attribute>10</Attribute>
   <NamespacePrefix>10</NamespacePrefix>
   <ProcessingInstructionTarget>10</ProcessingInstructionTarget>     
</NameLimits>

<Source> องค์ประกอบ

ข้อความที่จะคัดกรองการโจมตีเพย์โหลด XML โดยทั่วไปจะตั้งค่าเป็น request เนื่องจากโดยปกติแล้วคุณจะต้องตรวจสอบคำขอขาเข้าจากแอปไคลเอ็นต์ เมื่อตั้งค่าเป็น message องค์ประกอบนี้จะประเมินข้อความคำขอโดยอัตโนมัติ เมื่อแนบไปกับขั้นตอนคำขอและข้อความตอบกลับเมื่อแนบมากับการตอบกลับ

<Source>request</Source>

<StructuralLimits> องค์ประกอบ

ระบุขีดจำกัดเชิงโครงสร้างที่จะตรวจสอบและบังคับใช้โดยนโยบาย

<StructureLimits>
   <NodeDepth>5</NodeDepth>
   <AttributeCountPerElement>2</AttributeCountPerElement>
   <NamespaceCountPerElement>3</NamespaceCountPerElement>
   <ChildCount includeComment="true" includeElement="true" includeProcessingInstruction="true" includeText="true">3</ChildCount>
</StructureLimits>

<StructuralLimits>/<NodeDepth> องค์ประกอบ

ระบุความลึกของโหนดสูงสุดที่อนุญาตใน XML

<StructureLimits>
   <NodeDepth>5</NodeDepth>
   <AttributeCountPerElement>2</AttributeCountPerElement>
   <NamespaceCountPerElement>3</NamespaceCountPerElement>
   <ChildCount includeComment="true" includeElement="true" includeProcessingInstruction="true" includeText="true">3</ChildCount>
</StructureLimits>

<StructuralLimits>/<AttributeCountPerElement> องค์ประกอบ

ระบุจำนวนแอตทริบิวต์สูงสุดที่อนุญาตสำหรับองค์ประกอบใดๆ

ตัวอย่างเช่น ลองใช้ XML ต่อไปนี้

<book category="WEB">
   <title>Learning XML</title>
   <author>Erik T. Ray</author>
   <year>2003</year>
</book>

<StructureLimits>
   <NodeDepth>5</NodeDepth>
   <AttributeCountPerElement>2</AttributeCountPerElement>
   <NamespaceCountPerElement>3</NamespaceCountPerElement>
   <ChildCount includeComment="true" includeElement="true" includeProcessingInstruction="true" includeText="true">3</ChildCount>
</StructureLimits>

<StructuralLimits>/<NameSpaceCountPerElement> องค์ประกอบ

ระบุจำนวนการกำหนดเนมสเปซสูงสุดที่อนุญาตสำหรับองค์ประกอบใดๆ

ตัวอย่างเช่น ลองใช้ XML ต่อไปนี้

<e1 attr1="val1" attr2="val2">
    <e2 xmlns="http://apigee.com" xmlns:yahoo="http://yahoo.com" one="1" yahoo:two="2"/>
</e1>

เมื่อวิเคราะห์ XML ด้านบน ค่าขององค์ประกอบ <NamespaceCountPerElement> ในตัวอย่างนโยบายด้านล่างจะตรวจสอบว่าองค์ประกอบ e1 และ e2 แต่ละรายการมีคำจำกัดความของเนมสเปซได้ไม่เกิน 2 รายการ ในกรณีนี้ <e1> มีคำจำกัดความของเนมสเปซ 0 รายการและ <e2> มีเนมสเปซ 2 รายการ คำจำกัดความ: xmlns="http://apigee.com" และ xmlns:yahoo="http://yahoo.com"

<StructureLimits>
   <NodeDepth>5</NodeDepth>
   <AttributeCountPerElement>2</AttributeCountPerElement>
   <NamespaceCountPerElement>3</NamespaceCountPerElement>
   <ChildCount includeComment="true" includeElement="true" includeProcessingInstruction="true" includeText="true">3</ChildCount>
</StructureLimits>

&lt;StructuralLimits&gt;/&lt;ChildCount&gt; องค์ประกอบ

ระบุจำนวนองค์ประกอบย่อยสูงสุดที่อนุญาตสำหรับองค์ประกอบใดก็ได้

<StructureLimits>
   <NodeDepth>5</NodeDepth>
   <AttributeCountPerElement>2</AttributeCountPerElement>
   <NamespaceCountPerElement>3</NamespaceCountPerElement>
   <ChildCount includeComment="true" includeElement="true" includeProcessingInstruction="true" includeText="true">3</ChildCount>
</StructureLimits>

Attributes

&lt;ValueLimits&gt; องค์ประกอบ

ระบุจำนวนอักขระสูงสุดที่จะตรวจสอบและบังคับใช้โดยนโยบาย

<ValueLimits>
   <Text>15</Text>
   <Attribute>10</Attribute>
   <NamespaceURI>10</NamespaceURI>
   <Comment>10</Comment>
   <ProcessingInstructionData>10</ProcessingInstructionData>
</ValueLimits>

&lt;ValueLimits&gt;/&lt;Text&gt; องค์ประกอบ

ระบุจำนวนอักขระสูงสุดสำหรับโหนดข้อความที่แสดงในเอกสาร XML

ตัวอย่างเช่น ลองใช้ XML ต่อไปนี้

<book category="WEB">
   <title>Learning XML</title>
   <author>Erik T. Ray</author>
   <year>2003</year>
</book>

<ValueLimits>
   <Text>15</Text>
   <Attribute>10</Attribute>
   <NamespaceURI>10</NamespaceURI>
   <Comment>10</Comment>
   <ProcessingInstructionData>10</ProcessingInstructionData>
</ValueLimits>

&lt;ValueLimits&gt;/&lt;Attribute&gt; องค์ประกอบ

ระบุจำนวนอักขระสูงสุดสำหรับค่าแอตทริบิวต์ที่ปรากฏในเอกสาร XML

ตัวอย่างเช่น ลองใช้ XML ต่อไปนี้

<book category="WEB">
   <title>Learning XML</title>
   <author>Erik T. Ray</author>
   <year>2003</year>
</book>

<ValueLimits>
   <Text>15</Text>
   <Attribute>10</Attribute>
   <NamespaceURI>10</NamespaceURI>
   <Comment>10</Comment>
   <ProcessingInstructionData>10</ProcessingInstructionData>
</ValueLimits>

&lt;ValueLimits&gt;/&lt;NamespaceURI&gt; องค์ประกอบ

ระบุจำนวนอักขระสูงสุดสำหรับ URI ของเนมสเปซที่มีอยู่ในเอกสาร XML

ตัวอย่างเช่น ลองใช้ XML ต่อไปนี้

<ns1:myelem xmlns:ns1="http://ns1.com"/>

<ValueLimits>
   <Text>15</Text>
   <Attribute>10</Attribute>
   <NamespaceURI>10</NamespaceURI>
   <Comment>10</Comment>
   <ProcessingInstructionData>10</ProcessingInstructionData>
</ValueLimits>

&lt;ValueLimits&gt;/&lt;Comment&gt; องค์ประกอบ

ระบุจำนวนอักขระสูงสุดสำหรับความคิดเห็นที่แสดงในเอกสาร XML

ตัวอย่างเช่น ลองใช้ XML ต่อไปนี้

<book category="WEB">
   <!-- This is a comment -->
   <title>Learning XML</title>
   <author>Erik T. Ray</author>
   <year>2003</year>
</book>

<ValueLimits>
   <Text>15</Text>
   <Attribute>10</Attribute>
   <NamespaceURI>10</NamespaceURI>
   <Comment>10</Comment>
   <ProcessingInstructionData>10</ProcessingInstructionData>
</ValueLimits>

&lt;ValueLimits&gt;/&lt;ProcessingInstructionData&gt; องค์ประกอบ

ระบุจำนวนอักขระสูงสุดสำหรับคำสั่งการประมวลผลที่มีอยู่ใน XML เอกสาร

ตัวอย่างเช่น ลองใช้ XML ต่อไปนี้

<?xml-stylesheet type="text/xsl" href="style.xsl"?>

<ValueLimits>
   <Text>15</Text>
   <Attribute>10</Attribute>
   <NamespaceURI>10</NamespaceURI>
   <Comment>10</Comment>
   <ProcessingInstructionData>10</ProcessingInstructionData>
</ValueLimits>

ข้อมูลอ้างอิงข้อผิดพลาด

This section describes the fault codes and error messages that are returned and fault variables that are set by Edge when this policy triggers an error. This information is important to know if you are developing fault rules to handle faults. To learn more, see What you need to know about policy errors and Handling faults.

Runtime errors

These errors can occur when the policy executes.

Notes:

• The error name ExecutionFailed is the default error name and will be returned regardless of the type of error detected; however, this default can be changed by setting an organization-level property. When this property is set, the error name will reflect the actual error. For example, "TextExceeded" or "AttrValueExceeded". See Usage Notes for details.
• The 500 HTTP status is the default; however, the HTTP Status can be changed to 400 for request flow faults by setting an organization-level property. See Usage Notes for details.

Deployment errors

None.

Fault variables

These variables are set when a runtime error occurs. For more information, see What you need to know about policy errors.

Example error response

{
  "fault": {
    "faultstring": "XMLThreatProtection[XPT-SecureRequest]: Execution failed. reason: XMLThreatProtection[XTP-SecureRequest]: Exceeded object entry name length at line 2",
    "detail": {
      "errorcode": "steps.xmlthreatprotection.ExecutionFailed"
    }
  }
}

Example fault rule

<FaultRule name="XML Threat Protection Policy Faults">
    <Step>
        <Name>AM-CustomErrorResponse</Name>
        <Condition>(fault.name Matches "ExecutionFailed") </Condition>
    </Step>
    <Condition>(xmlattack.XPT-SecureRequest.failed = true) </Condition>
</FaultRule>

สคีมา

หมายเหตุการใช้งาน

เซิร์ฟเวอร์ใดๆ ที่รับข้อมูลออนไลน์จะถูกโจมตี ไม่ว่าจะเป็นอันตรายหรือไม่ได้ตั้งใจ การโจมตีบางอย่างใช้ประโยชน์จากความยืดหยุ่นของ XML โดยสร้างเอกสารที่ไม่ถูกต้องที่มี ความเสี่ยงต่อระบบแบ็กเอนด์ เอกสาร XML ที่เสียหายหรือมีความซับซ้อนมาก ทำให้เซิร์ฟเวอร์จัดสรรหน่วยความจำมากกว่าที่มีอยู่ ทำให้ทรัพยากรของ CPU และหน่วยความจำเพิ่มขึ้นมาก โปรแกรมแยกวิเคราะห์ที่ขัดข้อง และโดยทั่วไปจะปิดการใช้งานการประมวลผลข้อความและการสร้างระดับแอปพลิเคชัน และการโจมตีแบบปฏิเสธการให้บริการ

การกำหนดค่าข้อผิดพลาดเกี่ยวกับการป้องกันภัยคุกคาม

ข้อมูลสำคัญหากคุณสร้าง FaultRules สำหรับนโยบายนี้โดย ตามค่าเริ่มต้น Edge จะแสดงรหัสสถานะข้อผิดพลาดภายในเซิร์ฟเวอร์ HTTP 500 และข้อผิดพลาด ExecutionFailed หากข้อความไม่ส่งผ่านนโยบายการป้องกันภัยคุกคามของ JSON หรือ XML คุณสามารถเปลี่ยน กับพร็อพเพอร์ตี้ระดับองค์กรแบบใหม่ เมื่อตั้งค่าองค์กร พร็อพเพอร์ตี้ features.isPolicyHttpStatusEnabled เป็นจริง ค่าต่อไปนี้ เกิดการทำงานต่อไปนี้

• คำขอ: เมื่อแนบนโยบายการป้องกันภัยคุกคามแนบไปกับขั้นตอนคำขอ ข้อความที่ไม่ถูกต้อง แสดงรหัสสถานะคำขอ 400 ไม่ถูกต้อง พร้อมข้อผิดพลาดด้านนโยบายที่เกี่ยวข้อง (ไม่ใช่แค่ ExecutionFailed)
• การตอบสนอง: เมื่อแนบนโยบายการป้องกันภัยคุกคามแนบไปกับขั้นตอนการตอบสนอง ข้อความที่ไม่ถูกต้อง ยังคงส่งคืนรหัสสถานะข้อผิดพลาดภายในเซิร์ฟเวอร์ 500 และรายการใดรายการหนึ่ง มีการแสดงรหัสข้อผิดพลาดของนโยบายที่เกี่ยวข้อง (ไม่ใช่แค่ ExecutionFailed)

ลูกค้า Cloud ต้องติดต่อทีมสนับสนุนของ Apigee Edge เพื่อตั้งค่า ขององค์กร

หัวข้อที่เกี่ยวข้อง

ภัยคุกคามของ JSON นโยบายการป้องกัน

เบนซินธรรมดา นโยบายการปกป้องนิพจน์