Halaman ini berlaku untuk Apigee dan Apigee hybrid.
Lihat
Dokumentasi Apigee Edge.
Apa
Meminimalkan risiko yang ditimbulkan oleh serangan tingkat konten dengan memungkinkan Anda menentukan batas di berbagai Struktur JSON, seperti array dan string.
Kebijakan ini merupakan Kebijakan yang dapat diperluas dan penggunaan kebijakan ini mungkin menimbulkan biaya atau implikasi penggunaan, bergantung pada lisensi Apigee Anda. Untuk mengetahui informasi tentang jenis kebijakan dan implikasi penggunaan, lihat Jenis kebijakan.
Video: Tonton video singkat untuk mempelajari lebih lanjut Kebijakan JSONThreatProtection memungkinkan Anda mengamankan API dari serangan tingkat konten.
Video: Tonton video singkat ini tentang platform API lintas-cloud Apigee.
Referensi elemen
Referensi elemen menjelaskan elemen dan atribut JSONThreatProtection lebih lanjut.
<JSONThreatProtection async="false" continueOnError="false" enabled="true" name="JSON-Threat-Protection-1"> <DisplayName>JSONThreatProtection 1</DisplayName> <ArrayElementCount>20</ArrayElementCount> <ContainerDepth>10</ContainerDepth> <ObjectEntryCount>15</ObjectEntryCount> <ObjectEntryNameLength>50</ObjectEntryNameLength> <Source>request</Source> <StringValueLength>500</StringValueLength> </JSONThreatProtection>
<JSONThreatProtection> atribut
<JSONThreatProtection async="false" continueOnError="false" enabled="true" name="JSON-Threat-Protection-1">
Tabel berikut menjelaskan atribut yang sama untuk semua elemen induk kebijakan:
| Atribut | Deskripsi | Default | Kehadiran |
|---|---|---|---|
name |
Nama internal kebijakan. Nilai atribut Atau, gunakan elemen |
T/A | Diperlukan |
continueOnError |
Setel ke Setel ke |
false | Opsional |
enabled |
Setel ke Setel ke |
true | Opsional |
async |
Atribut ini sudah tidak digunakan lagi. |
false | Tidak digunakan lagi |
Elemen <DisplayName>
Gunakan selain atribut name untuk memberi label kebijakan di
editor proxy UI pengelolaan dengan nama natural-language yang berbeda.
<DisplayName>Policy Display Name</DisplayName>
| Default |
T/A Jika Anda menghapus elemen ini, nilai atribut |
|---|---|
| Kehadiran | Opsional |
| Jenis | String |
<ArrayElementCount> elemen
Menentukan jumlah maksimum elemen yang diizinkan dalam array.
<ArrayElementCount>20</ArrayElementCount>
| Default: | Jika Anda tidak menetapkan elemen ini, atau jika Anda menetapkan bilangan bulat negatif, sistem akan tidak menerapkan batas. |
| Kehadiran: | Opsional |
| Jenis: | Bilangan bulat |
<ContainerDepth> elemen
Menentukan kedalaman pembatasan maksimum yang diizinkan, dengan container berupa objek atau array. Misalnya, array yang berisi objek yang berisi suatu objek akan menghasilkan pembatasan kedalaman 3.
<ContainerDepth>10</ContainerDepth>
| Default: | Jika Anda tidak menetapkan elemen ini, atau jika Anda menetapkan bilangan bulat negatif, sistem akan tidak memberlakukan batasan apa pun. |
| Kehadiran: | Opsional |
| Jenis: | Bilangan bulat |
<ObjectEntryCount> elemen
Menentukan jumlah maksimum entri yang diizinkan dalam objek.
<ObjectEntryCount>15</ObjectEntryCount>
| Default: | Jika Anda tidak menetapkan elemen ini, atau jika Anda menetapkan bilangan bulat negatif, sistem akan tidak memberlakukan batasan apa pun. |
| Kehadiran: | Opsional |
| Jenis: | Bilangan bulat |
<ObjectEntryNameLength> elemen
Menentukan panjang string maksimum yang diizinkan untuk nama properti dalam objek.
<ObjectEntryNameLength>50</ObjectEntryNameLength>
| Default: | Jika Anda tidak menetapkan elemen ini, atau jika Anda menetapkan bilangan bulat negatif, sistem akan tidak menerapkan batas. |
| Kehadiran: | Opsional |
| Jenis: | Bilangan bulat |
<Source> elemen
Pesan yang akan disaring untuk serangan payload JSON. Fungsi ini paling sering disetel ke
request, karena Anda biasanya perlu memvalidasi permintaan masuk dari aplikasi klien.
Jika ditetapkan ke message, elemen ini akan otomatis mengevaluasi pesan permintaan
ketika dilampirkan ke alur permintaan dan pesan respons saat dilampirkan pada respons
alur kerja.
<Source>request</Source>
| Default: | permintaan |
| Kehadiran: | Opsional |
| Jenis: |
String. Nilai valid: permintaan, respons, atau pesan. |
<StringValueLength> elemen
Menentukan panjang maksimum yang diizinkan untuk nilai string.
<StringValueLength>500</StringValueLength>
| Default: | Jika Anda tidak menetapkan elemen ini, atau jika Anda menetapkan bilangan bulat negatif, sistem akan tidak menerapkan batas. |
| Kehadiran: | Opsional |
| Jenis: | Bilangan bulat |
Referensi error
Bagian ini menjelaskan kode kesalahan dan pesan error yang ditampilkan dan variabel kesalahan yang disetel oleh Apigee saat kebijakan ini memicu error. Informasi ini penting untuk diketahui apakah Anda mengembangkan aturan kesalahan untuk menangani kesalahan. Untuk mempelajari lebih lanjut, lihat Hal yang perlu Anda ketahui tentang error kebijakan dan Menangani kesalahan.
Error runtime
Error ini dapat terjadi saat kebijakan dieksekusi.
| Kode kesalahan | Status HTTP | Penyebab | Perbaikan |
|---|---|---|---|
steps.jsonthreatprotection.ExecutionFailed |
500 |
Kebijakan JSONThreatProtection dapat menampilkan berbagai jenis error ExecutionFailed.
Sebagian besar error ini terjadi saat nilai minimum tertentu yang ditetapkan dalam kebijakan terlampaui. Jenis error ini mencakup:
panjang nama entri objek,
jumlah entri objek,
jumlah elemen array,
kedalaman container,
panjang nilai string string.
Error ini juga terjadi jika payload berisi objek JSON yang tidak valid.
|
build |
steps.jsonthreatprotection.SourceUnavailable |
500 |
Error ini terjadi jika variabel message
yang ditentukan dalam elemen <Source> adalah:
|
build |
steps.jsonthreatprotection.NonMessageVariable |
500 |
Error ini terjadi jika elemen <Source> ditetapkan ke variabel yang
bukan jenis
pesan.
|
build |
Error saat deployment
Tidak ada.
Variabel kesalahan
Variabel ini ditetapkan saat kebijakan ini memicu error. Untuk informasi selengkapnya, lihat Yang perlu Anda ketahui tentang error kebijakan.
| Variabel | Dari mana | Contoh |
|---|---|---|
fault.name="fault_name" |
fault_name adalah nama kesalahan, seperti yang tercantum dalam tabel Error runtime di atas. Nama kesalahan adalah bagian terakhir dari kode kesalahan. | fault.name Matches "SourceUnavailable" |
jsonattack.policy_name.failed |
policy_name adalah nama kebijakan yang ditentukan pengguna yang menampilkan kesalahan. | jsonattack.JTP-SecureRequest.failed = true |
Contoh respons error
{
"fault": {
"faultstring": "JSONThreatProtection[JPT-SecureRequest]: Execution failed. reason: JSONThreatProtection[JTP-SecureRequest]: Exceeded object entry name length at line 2",
"detail": {
"errorcode": "steps.jsonthreatprotection.ExecutionFailed"
}
}
}
Contoh aturan kesalahan
<FaultRule name="JSONThreatProtection Policy Faults">
<Step>
<Name>AM-CustomErrorResponse</Name>
<Condition>(fault.name Matches "ExecutionFailed") </Condition>
</Step>
<Condition>(jsonattack.JPT-SecureRequest.failed = true) </Condition>
</FaultRule>
Skema
Catatan penggunaan
Seperti layanan berbasis XML, API yang mendukung notasi objek JavaScript (JSON) rentan terhadap dan serangan {i>content-level<i}. Serangan JSON sederhana mencoba menggunakan struktur yang membebani parser JSON untuk membuat layanan menjadi {i>crash<i} dan menyebabkan serangan {i>denial-of-service<i} tingkat aplikasi. Semua setelan opsional dan harus disesuaikan untuk mengoptimalkan persyaratan layanan Anda terhadap potensi kerentanan.
Topik terkait
Kebijakan RegularExpressionProtection