メッセージ コンテンツは、悪意のある API 利用者が使用する重要な攻撃経路です。API サービスは、攻撃者や不正なリクエスト ペイロードによって、バックエンド サービスが危険にさらされる可能性を緩和する一連の Policy タイプを提供します。
次の動画では、SQL インジェクション攻撃に対する保護の概要と詳細を説明しています。
JSON 攻撃からの保護
単純な JSON 攻撃では、JSON パーサーに過剰な負荷をかけてサービスをクラッシュさせ、アプリケーション レベルの DoS 攻撃(サービス拒否攻撃)となるような構造を使おうと試みます。
このような攻撃は、JSONThreatProtection Policy タイプを使用して緩和できます。
JSON Threat Protection ポリシーをご覧ください。
XML 攻撃からの保護
XML 攻撃では、XML パーサーに過剰な負荷をかけてサービスをクラッシュさせ、アプリケーション レベルの DoS 攻撃(サービス拒否攻撃)となるような構造を使おうと試みます。
このような攻撃は、XMLThreatProtection Policy タイプを使用して緩和できます。
XML Threat Protection ポリシーをご覧ください。
一般的なコンテンツ保護
コンテンツ ベースの攻撃には、特別な HTTP ヘッダー、クエリ パラメータ、ペイロードの内容を使って、コードの実行を試みるものがあります。SQL インジェクション攻撃がその例です。このような攻撃は、RegularExpressionProtection Policy タイプを使用して緩和できます。
詳細については、Regular Expression Protection ポリシーをご覧ください。