Política JSONThreatProtection

Esta página se aplica a Apigee y Apigee Hybrid.

Consulta la documentación de Apigee Edge.

Icono de política

Qué

Minimiza el riesgo que suponen los ataques a nivel de contenido, ya que te permite especificar límites en varias estructuras JSON, como matrices y cadenas.

Esta política es una política extensible y su uso puede tener implicaciones en cuanto a costes o utilización, en función de tu licencia de Apigee. Para obtener información sobre los tipos de políticas y las implicaciones de uso, consulta Tipos de políticas.

.

Vídeo: vea un breve vídeo para obtener más información sobre cómo la política JSONThreatProtection le permite proteger las APIs frente a ataques a nivel de contenido.

Vídeo: echa un vistazo a este breve vídeo sobre la plataforma de APIs multicloud de Apigee.

Referencia de elemento

La referencia de elementos describe los elementos y atributos de la política JSONThreatProtection.

<JSONThreatProtection async="false" continueOnError="false" enabled="true" name="JSON-Threat-Protection-1">
   <DisplayName>JSONThreatProtection 1</DisplayName>
   <ArrayElementCount>20</ArrayElementCount>
   <ContainerDepth>10</ContainerDepth>
   <ObjectEntryCount>15</ObjectEntryCount>
   <ObjectEntryNameLength>50</ObjectEntryNameLength>
   <Source>request</Source>
   <StringValueLength>500</StringValueLength>
</JSONThreatProtection>

Atributos de <JSONThreatProtection>

<JSONThreatProtection async="false" continueOnError="false" enabled="true" name="JSON-Threat-Protection-1"> 

En la siguiente tabla se describen los atributos que son comunes a todos los elementos superiores de la política:

Atributo Descripción Predeterminado Presencia
name

El nombre interno de la política. El valor del atributo name puede contener letras, números, espacios, guiones, guiones bajos y puntos. Este valor no puede superar los 255 caracteres.

Opcionalmente, usa el elemento <DisplayName> para etiquetar la política en el editor de proxy de la interfaz de gestión con un nombre diferente en lenguaje natural.

N/A Obligatorio
continueOnError

Asigna el valor false para devolver un error cuando falle una política. Este es el comportamiento esperado de la mayoría de las políticas.

Asigna el valor true para que la ejecución del flujo continúe incluso después de que falle una política. Consulta también:

falso Opcional
enabled

Asigna el valor true para aplicar la política.

Selecciona false para desactivar la política. La política no se aplicará aunque siga adjunta a un flujo.

true Opcional
async

Este atributo está obsoleto.

falso Obsoleto

Elemento <DisplayName>

Úsalo junto con el atributo name para etiquetar la política en el editor de proxy de la interfaz de gestión con un nombre diferente en lenguaje natural.

<DisplayName>Policy Display Name</DisplayName>
Predeterminado

N/A

Si omite este elemento, se usará el valor del atributo name de la política.

Presencia Opcional
Tipo Cadena

Elemento <ArrayElementCount>

Especifica el número máximo de elementos permitidos en una matriz.

<ArrayElementCount>20</ArrayElementCount>
Valor predeterminado: Si no especifica este elemento o especifica un número entero negativo, el sistema no aplicará ningún límite.
Presencia: Opcional
Tipo: Entero

Elemento <ContainerDepth>

Especifica la profundidad máxima de contención permitida, donde los contenedores son objetos o matrices. Por ejemplo, un array que contenga un objeto que contenga otro objeto tendría una profundidad de contención de 3.

<ContainerDepth>10</ContainerDepth>
Valor predeterminado: Si no especifica este elemento o si especifica un número entero negativo, el sistema no aplicará ningún límite.
Presencia: Opcional
Tipo: Entero

Elemento <ObjectEntryCount>

Especifica el número máximo de entradas permitidas en un objeto.

<ObjectEntryCount>15</ObjectEntryCount>
Valor predeterminado: Si no especifica este elemento o si especifica un número entero negativo, el sistema no aplicará ningún límite.
Presencia: Opcional
Tipo: Entero

Elemento <ObjectEntryNameLength>

Especifica la longitud máxima de cadena permitida para el nombre de una propiedad de un objeto.

<ObjectEntryNameLength>50</ObjectEntryNameLength>
Valor predeterminado: Si no especifica este elemento o especifica un número entero negativo, el sistema no aplicará ningún límite.
Presencia: Opcional
Tipo: Entero

Elemento <Source>

Mensaje que se va a analizar para detectar ataques de carga útil de JSON. Lo más habitual es que se defina como request, ya que normalmente tendrás que validar las solicitudes entrantes de las aplicaciones cliente. Si se define como message, este elemento evaluará automáticamente el mensaje de solicitud cuando se adjunte al flujo de solicitud y el mensaje de respuesta cuando se adjunte al flujo de respuesta.

<Source>request</Source>
Valor predeterminado: solicitud
Presencia: Opcional
Tipo:

Cadena.

Valores válidos: request, response o message.

Elemento <StringValueLength>

Especifica la longitud máxima permitida para un valor de cadena.

<StringValueLength>500</StringValueLength>
Valor predeterminado: Si no especifica este elemento o especifica un número entero negativo, el sistema no aplicará ningún límite.
Presencia: Opcional
Tipo: Entero

Referencia de errores

.

En esta sección se describen los códigos de error y los mensajes de error que se devuelven, así como las variables de error que define Apigee cuando esta política activa un error. Es importante conocer esta información si vas a desarrollar reglas de errores para gestionarlos. Para obtener más información, consulta Qué debes saber sobre los errores de políticas y Cómo gestionar los fallos.

Errores de tiempo de ejecución

Estos errores pueden producirse cuando se ejecuta la política.

Código de fallo Estado de HTTP Causa Solucionar
steps.jsonthreatprotection.ExecutionFailed 500 La política JSONThreatProtection puede generar muchos tipos distintos de errores ExecutionFailed. La mayoría de estos errores se producen cuando se supera un umbral específico establecido en la política. Estos tipos de errores incluyen los siguientes: longitud del nombre de la entrada del objeto, número de entradas del objeto, número de elementos del array, profundidad del contenedor, longitud del valor de la cadena. Este error también se produce cuando la carga útil contiene un objeto JSON no válido.
steps.jsonthreatprotection.SourceUnavailable 500 Este error se produce si la variable message especificada en el elemento <Source> es:
  • Fuera del ámbito (no disponible en el flujo específico en el que se está ejecutando la política)
  • No es uno de los valores válidos request, response o message
steps.jsonthreatprotection.NonMessageVariable 500 Este error se produce si el elemento <Source> se asigna a una variable que no es del tipo message.

Errores de implementación

Ninguno

Variables de error

Estas variables se definen cuando esta política activa un error. Para obtener más información, consulta el artículo Información sobre los errores de las políticas.

Variables Dónde Ejemplo
fault.name="fault_name" fault_name es el nombre del fallo, tal como se indica en la tabla Errores de tiempo de ejecución de arriba. El nombre del error es la última parte del código de error. fault.name Matches "SourceUnavailable"
jsonattack.policy_name.failed policy_name es el nombre de la política especificado por el usuario que ha provocado el error. jsonattack.JTP-SecureRequest.failed = true

Ejemplo de respuesta de error

{
  "fault": {
    "faultstring": "JSONThreatProtection[JPT-SecureRequest]: Execution failed. reason: JSONThreatProtection[JTP-SecureRequest]: Exceeded object entry name length at line 2",
    "detail": {
      "errorcode": "steps.jsonthreatprotection.ExecutionFailed"
    }
  }
}

Regla de fallo de ejemplo

<FaultRule name="JSONThreatProtection Policy Faults">
    <Step>
        <Name>AM-CustomErrorResponse</Name>
        <Condition>(fault.name Matches "ExecutionFailed") </Condition>
    </Step>
    <Condition>(jsonattack.JPT-SecureRequest.failed = true) </Condition>
</FaultRule>

Esquemas

Notas de uso

Al igual que los servicios basados en XML, las APIs que admiten la notación de objetos JavaScript (JSON) son vulnerables a ataques a nivel de contenido. Los ataques JSON simples intentan usar estructuras que sobrecargan los analizadores JSON para bloquear un servicio e inducir ataques de denegación de servicio a nivel de aplicación. Todos los ajustes son opcionales y deben configurarse para optimizar los requisitos de tu servicio frente a posibles vulnerabilidades.

Temas relacionados

Política JSONtoXML

Política XMLThreatProtection

Política RegularExpressionProtection