Le contenu du message est un important vecteur d'attaque utilisé par les utilisateurs d'API malveillants. Les services d'API fournissent un ensemble de types de règles permettant de limiter le risque que vos services de backend soient compromis par des pirates informatiques ou des charges utiles de requête dont le format est incorrect.
La vidéo suivante présente en détails la protection contre les attaques par injection SQL.
Protection contre les menaces JSON
Les attaques JSON tentent d'utiliser des structures qui surchargent les analyseurs JSON pour faire planter un service et provoquer des attaques par déni de service au niveau de l'application.
De telles attaques peuvent être minimisées à l'aide du type de règle JSONThreatProtection.
Les attaques XML tentent d'utiliser des structures qui surchargent les analyseurs XML pour faire planter un service et provoquer des attaques par déni de service au niveau de l'application.
De telles attaques peuvent être minimisées à l'aide du type de règle XMLThreatProtection.
Certaines attaques basées sur le contenu utilisent des constructions spécifiques dans les en-têtes HTTP, les paramètres de requête ou le contenu de la charge utile pour tenter d'exécuter du code. Les attaques par injection SQL en sont un exemple. De telles attaques peuvent être minimisées à l'aide du type de règle RegularExpressionProtection.
Sauf indication contraire, le contenu de cette page est régi par une licence Creative Commons Attribution 4.0, et les échantillons de code sont régis par une licence Apache 2.0. Pour en savoir plus, consultez les Règles du site Google Developers. Java est une marque déposée d'Oracle et/ou de ses sociétés affiliées.
Dernière mise à jour le 2025/09/03 (UTC).
[[["Facile à comprendre","easyToUnderstand","thumb-up"],["J'ai pu résoudre mon problème","solvedMyProblem","thumb-up"],["Autre","otherUp","thumb-up"]],[["Difficile à comprendre","hardToUnderstand","thumb-down"],["Informations ou exemple de code incorrects","incorrectInformationOrSampleCode","thumb-down"],["Il n'y a pas l'information/les exemples dont j'ai besoin","missingTheInformationSamplesINeed","thumb-down"],["Problème de traduction","translationIssue","thumb-down"],["Autre","otherDown","thumb-down"]],["Dernière mise à jour le 2025/09/03 (UTC)."],[[["\u003cp\u003eThis content is relevant to both Apigee and Apigee hybrid users, detailing various security measures.\u003c/p\u003e\n"],["\u003cp\u003eMalicious API consumers often use message content as an attack vector, potentially compromising backend services.\u003c/p\u003e\n"],["\u003cp\u003eJSONThreatProtection and XMLThreatProtection policies can mitigate denial-of-service attacks by preventing the overwhelming of parsers with specific structures.\u003c/p\u003e\n"],["\u003cp\u003eThe RegularExpressionProtection policy can help safeguard against content-based attacks, including SQL-injection attempts within headers, parameters, or payload content.\u003c/p\u003e\n"]]],[],null,["# Content-based security\n\n*This page\napplies to **Apigee** and **Apigee hybrid**.*\n\n\n*View [Apigee Edge](https://docs.apigee.com/api-platform/get-started/what-apigee-edge) documentation.*\n\nMessage content is a significant attack vector used by malicious API consumers. API Services\nprovides a set of Policy types to mitigate the potential for your backend services to be\ncompromised by attackers or by malformed request payloads.\n| **Note:** This video was recorded with a previous version of the Apigee UI; however, the concepts are still valid.\n\nThe following video provides an overview and focuses on protecting against SQL injection\nattacks.\n\nJSON threat protection\n----------------------\n\nJSON attacks attempt to use structures that overwhelm JSON parsers to crash a service and\ninduce application-level denial-of-service attacks.\n\nSuch attacks can be mitigated using the JSONThreatProtection Policy type.\n\nSee [JSON Threat\nProtection policy](/apigee/docs/api-platform/reference/policies/json-threat-protection-policy).\n\nXML threat protection\n---------------------\n\nXML attacks attempt to use structures that overwhelm XML parsers to crash a service and induce\napplication-level denial-of-service attacks.\n\nSuch attacks can be mitigated using the XMLThreatProtection Policy type.\n\nSee [XML Threat\nProtection policy](/apigee/docs/api-platform/reference/policies/xml-threat-protection-policy).\n\nGeneral content protection\n--------------------------\n\nSome content-based attacks use specific constructs in HTTP headers, query parameters, or\npayload content to attempt to execute code. An example is SQL-injection attacks. Such attacks can\nbe mitigated using the RegularExpressionProtection Policy type.\n\nSee [Regular\nExpression Protection policy](/apigee/docs/api-platform/reference/policies/regular-expression-protection)."]]
