Esta página aplica-se ao Apigee e ao Apigee Hybrid.
Veja a documentação do
Apigee Edge.
O quê
Minimiza o risco representado por ataques ao nível do conteúdo, permitindo-lhe especificar limites em várias estruturas JSON, como matrizes e strings.
Esta política é uma política extensível e a utilização desta política pode ter implicações de custo ou utilização, consoante a sua licença do Apigee. Para ver informações sobre os tipos de políticas e as implicações de utilização, consulte Tipos de políticas.
Vídeo: veja um breve vídeo para saber mais sobre como a política JSONThreatProtection lhe permite proteger as APIs contra ataques ao nível do conteúdo.
Vídeo: veja este breve vídeo sobre a plataforma de API multicloud da Apigee.
Referência do elemento
A referência de elementos descreve os elementos e os atributos da política JSONThreatProtection.
<JSONThreatProtection async="false" continueOnError="false" enabled="true" name="JSON-Threat-Protection-1"> <DisplayName>JSONThreatProtection 1</DisplayName> <ArrayElementCount>20</ArrayElementCount> <ContainerDepth>10</ContainerDepth> <ObjectEntryCount>15</ObjectEntryCount> <ObjectEntryNameLength>50</ObjectEntryNameLength> <Source>request</Source> <StringValueLength>500</StringValueLength> </JSONThreatProtection>
Atributos <JSONThreatProtection>
<JSONThreatProtection async="false" continueOnError="false" enabled="true" name="JSON-Threat-Protection-1">
A tabela seguinte descreve os atributos comuns a todos os elementos principais de políticas:
| Atributo | Descrição | Predefinição | Presença |
|---|---|---|---|
name |
O nome interno da política. O valor do atributo Opcionalmente, use o elemento |
N/A | Obrigatória |
continueOnError |
Definido como Definido como |
falso | Opcional |
enabled |
Defina como Defina como |
verdadeiro | Opcional |
async |
Este atributo foi descontinuado. |
falso | Descontinuado |
Elemento <DisplayName>
Use em conjunto com o atributo name para etiquetar a política no editor de proxy da IU de gestão com um nome diferente em linguagem natural.
<DisplayName>Policy Display Name</DisplayName>
| Predefinição |
N/A Se omitir este elemento, é usado o valor do atributo |
|---|---|
| Presença | Opcional |
| Tipo | String |
Elemento <ArrayElementCount>
Especifica o número máximo de elementos permitidos numa matriz.
<ArrayElementCount>20</ArrayElementCount>
| Predefinição: | Se não especificar este elemento ou se especificar um número inteiro negativo, o sistema não aplica um limite. |
| Presença: | Opcional |
| Tipo: | Número inteiro |
Elemento <ContainerDepth>
Especifica a profundidade de contenção máxima permitida, em que os contentores são objetos ou matrizes. Por exemplo, uma matriz que contenha um objeto que contenha um objeto resultaria numa profundidade de contenção de 3.
<ContainerDepth>10</ContainerDepth>
| Predefinição: | Se não especificar este elemento ou se especificar um número inteiro negativo, o sistema não aplica nenhum limite. |
| Presença: | Opcional |
| Tipo: | Número inteiro |
Elemento <ObjectEntryCount>
Especifica o número máximo de entradas permitidas num objeto.
<ObjectEntryCount>15</ObjectEntryCount>
| Predefinição: | Se não especificar este elemento ou se especificar um número inteiro negativo, o sistema não aplica nenhum limite. |
| Presença: | Opcional |
| Tipo: | Número inteiro |
Elemento <ObjectEntryNameLength>
Especifica o comprimento máximo da string permitido para um nome de propriedade num objeto.
<ObjectEntryNameLength>50</ObjectEntryNameLength>
| Predefinição: | Se não especificar este elemento ou se especificar um número inteiro negativo, o sistema não aplica um limite. |
| Presença: | Opcional |
| Tipo: | Número inteiro |
Elemento <Source>
Mensagem a ser analisada quanto a ataques de payload JSON. Normalmente, esta opção está definida como request, uma vez que, normalmente, tem de validar os pedidos recebidos de apps de cliente.
Quando definido como message, este elemento avalia automaticamente a mensagem de pedido quando anexada ao fluxo de pedido e a mensagem de resposta quando anexada ao fluxo de resposta.
<Source>request</Source>
| Predefinição: | pedido |
| Presença: | Opcional |
| Tipo: |
String. Valores válidos: request, response ou message. |
Elemento <StringValueLength>
Especifica o comprimento máximo permitido para um valor de string.
<StringValueLength>500</StringValueLength>
| Predefinição: | Se não especificar este elemento ou se especificar um número inteiro negativo, o sistema não aplica um limite. |
| Presença: | Opcional |
| Tipo: | Número inteiro |
Referência de erro
Nesta seção, descrevemos os códigos de falha e as mensagens de erro retornadas e as variáveis com falha definidas pela Apigee quando essa política aciona um erro. Essas informações são importantes para saber se você está desenvolvendo regras de falha para lidar com falhas. Para saber mais, consulte O que você precisa saber sobre erros de política e Como lidar com falhas.
Erros de execução
Esses erros podem ocorrer quando a política é executada.
| Código de falha | Status HTTP | Causa | Correção |
|---|---|---|---|
steps.jsonthreatprotection.ExecutionFailed |
500 |
A política JSONThreatProtection pode gerar vários tipos diferentes de erros ExecutionFailed.
A maioria desses erros ocorre quando um limite específico definido na política é excedido. Esses tipos de erros incluem: tamanho do nome de entrada do objeto, contagem de entradas de objetos, contagem de elementos da matriz,
profundidade do contêiner e
tamanho do valor da string.
Esse erro também ocorre quando o payload contém um objeto JSON inválido.
|
build |
steps.jsonthreatprotection.SourceUnavailable |
500 |
Esse erro ocorrerá se a variável message especificada no elemento <Source> for:
|
build |
steps.jsonthreatprotection.NonMessageVariable |
500 |
Esse erro ocorrerá se o elemento <Source> estiver definido como uma variável que não é do tipo message. |
build |
Erros na implantação
Nenhum.
Variáveis de falha
Essas variáveis são definidas quando esta política aciona um erro. Para mais informações, consulte O que você precisa saber sobre erros de política.
| Variáveis | Onde | Exemplo |
|---|---|---|
fault.name="fault_name" |
fault_name é o nome da falha, conforme listado na tabela Erros de ambiente de execução acima. O nome da falha é a última parte do código de falha. | fault.name Matches "SourceUnavailable" |
jsonattack.policy_name.failed |
policy_name é o nome especificado pelo usuário da política que causou a falha. | jsonattack.JTP-SecureRequest.failed = true |
Exemplo de resposta de erro
{
"fault": {
"faultstring": "JSONThreatProtection[JPT-SecureRequest]: Execution failed. reason: JSONThreatProtection[JTP-SecureRequest]: Exceeded object entry name length at line 2",
"detail": {
"errorcode": "steps.jsonthreatprotection.ExecutionFailed"
}
}
}Exemplo de regra de falha
<FaultRule name="JSONThreatProtection Policy Faults">
<Step>
<Name>AM-CustomErrorResponse</Name>
<Condition>(fault.name Matches "ExecutionFailed") </Condition>
</Step>
<Condition>(jsonattack.JPT-SecureRequest.failed = true) </Condition>
</FaultRule>
Esquemas
Notas de utilização
Tal como os serviços baseados em XML, as APIs que suportam a notação de objetos JavaScript (JSON) são vulneráveis a ataques ao nível do conteúdo. Os ataques JSON simples tentam usar estruturas que sobrecarregam os analisadores JSON para falhar um serviço e induzir ataques de negação de serviço ao nível da aplicação. Todas as definições são opcionais e devem ser ajustadas para otimizar os requisitos do seu serviço em função de potenciais vulnerabilidades.
Tópicos relacionados
Política RegularExpressionProtection