Esta página se aplica a Apigee y Apigee Hybrid.
Consulta la documentación de
Apigee Edge.
Qué
Minimiza el riesgo que suponen los ataques a nivel de contenido, ya que te permite especificar límites en varias estructuras JSON, como matrices y cadenas.
Esta política es una política extensible y su uso puede tener implicaciones en cuanto a costes o utilización, en función de tu licencia de Apigee. Para obtener información sobre los tipos de políticas y las implicaciones de uso, consulta Tipos de políticas.
.Vídeo: vea un breve vídeo para obtener más información sobre cómo la política JSONThreatProtection le permite proteger las APIs frente a ataques a nivel de contenido.
Vídeo: echa un vistazo a este breve vídeo sobre la plataforma de APIs multicloud de Apigee.
Referencia de elemento
La referencia de elementos describe los elementos y atributos de la política JSONThreatProtection.
<JSONThreatProtection async="false" continueOnError="false" enabled="true" name="JSON-Threat-Protection-1"> <DisplayName>JSONThreatProtection 1</DisplayName> <ArrayElementCount>20</ArrayElementCount> <ContainerDepth>10</ContainerDepth> <ObjectEntryCount>15</ObjectEntryCount> <ObjectEntryNameLength>50</ObjectEntryNameLength> <Source>request</Source> <StringValueLength>500</StringValueLength> </JSONThreatProtection>
Atributos de <JSONThreatProtection>
<JSONThreatProtection async="false" continueOnError="false" enabled="true" name="JSON-Threat-Protection-1">
En la siguiente tabla se describen los atributos que son comunes a todos los elementos superiores de la política:
| Atributo | Descripción | Predeterminado | Presencia |
|---|---|---|---|
name |
El nombre interno de la política. El valor del atributo Opcionalmente, usa el elemento |
N/A | Obligatorio |
continueOnError |
Asigna el valor Asigna el valor |
falso | Opcional |
enabled |
Asigna el valor Selecciona |
true | Opcional |
async |
Este atributo está obsoleto. |
falso | Obsoleto |
Elemento <DisplayName>
Úsalo junto con el atributo name para etiquetar la política en el editor de proxy de la interfaz de gestión con un nombre diferente en lenguaje natural.
<DisplayName>Policy Display Name</DisplayName>
| Predeterminado |
N/A Si omite este elemento, se usará el valor del atributo |
|---|---|
| Presencia | Opcional |
| Tipo | Cadena |
Elemento <ArrayElementCount>
Especifica el número máximo de elementos permitidos en una matriz.
<ArrayElementCount>20</ArrayElementCount>
| Valor predeterminado: | Si no especifica este elemento o especifica un número entero negativo, el sistema no aplicará ningún límite. |
| Presencia: | Opcional |
| Tipo: | Entero |
Elemento <ContainerDepth>
Especifica la profundidad máxima de contención permitida, donde los contenedores son objetos o matrices. Por ejemplo, un array que contenga un objeto que contenga otro objeto tendría una profundidad de contención de 3.
<ContainerDepth>10</ContainerDepth>
| Valor predeterminado: | Si no especifica este elemento o si especifica un número entero negativo, el sistema no aplicará ningún límite. |
| Presencia: | Opcional |
| Tipo: | Entero |
Elemento <ObjectEntryCount>
Especifica el número máximo de entradas permitidas en un objeto.
<ObjectEntryCount>15</ObjectEntryCount>
| Valor predeterminado: | Si no especifica este elemento o si especifica un número entero negativo, el sistema no aplicará ningún límite. |
| Presencia: | Opcional |
| Tipo: | Entero |
Elemento <ObjectEntryNameLength>
Especifica la longitud máxima de cadena permitida para el nombre de una propiedad de un objeto.
<ObjectEntryNameLength>50</ObjectEntryNameLength>
| Valor predeterminado: | Si no especifica este elemento o especifica un número entero negativo, el sistema no aplicará ningún límite. |
| Presencia: | Opcional |
| Tipo: | Entero |
Elemento <Source>
Mensaje que se va a analizar para detectar ataques de carga útil de JSON. Lo más habitual es que se defina como request, ya que normalmente tendrás que validar las solicitudes entrantes de las aplicaciones cliente.
Si se define como message, este elemento evaluará automáticamente el mensaje de solicitud cuando se adjunte al flujo de solicitud y el mensaje de respuesta cuando se adjunte al flujo de respuesta.
<Source>request</Source>
| Valor predeterminado: | solicitud |
| Presencia: | Opcional |
| Tipo: |
Cadena. Valores válidos: request, response o message. |
Elemento <StringValueLength>
Especifica la longitud máxima permitida para un valor de cadena.
<StringValueLength>500</StringValueLength>
| Valor predeterminado: | Si no especifica este elemento o especifica un número entero negativo, el sistema no aplicará ningún límite. |
| Presencia: | Opcional |
| Tipo: | Entero |
Referencia de errores
.
En esta sección, se describen los códigos de falla y los mensajes de error que se muestran, y las variables de falla que establece Apigee cuando esta política activa un error. Esta información es importante para saber si estás desarrollando reglas de fallas con el propósito de manejar fallas. Para obtener más información, consulta Qué debes saber sobre los errores de políticas y Soluciona fallas.
Errores de entorno de ejecución
Estos errores pueden producirse cuando se ejecuta la política.
| Código de falla | Estado de HTTP | Causa | Corregir |
|---|---|---|---|
steps.jsonthreatprotection.ExecutionFailed |
500 |
La política JSONThreatProtection puede generar muchos tipos de errores ExecutionFailed.
La mayoría de estos errores se generan cuando se supera un límite específico establecido en la política. Estos tipos de errores incluyen la longitud del nombre de entrada del objeto, el recuento de entradas de objetos, el recuento de elementos del array, la profundidad del contenedor, longitud del valor de strings de la string.
Este error también ocurre cuando la carga útil contiene un objeto JSON no válido.
|
build |
steps.jsonthreatprotection.SourceUnavailable |
500 |
Este error se genera si la variable mensaje especificada en el elemento <Source>:
|
build |
steps.jsonthreatprotection.NonMessageVariable |
500 |
Este error se genera si el elemento <Source> se configura como una variable que no es del tipo mensaje. |
build |
Errores en la implementación
Ninguno
Variables con fallas
Estas variables se establecen cuando esta política activa un error. Para obtener más información, consulta Qué debes saber sobre los errores de la política.
| Variables | Donde | Ejemplo |
|---|---|---|
fault.name="fault_name" |
fault_name es el nombre de la falla, como se indica en la tabla de Errores del entorno de ejecución anterior. El nombre de la falla es la última parte del código de la falla. | fault.name Matches "SourceUnavailable" |
jsonattack.policy_name.failed |
policy_name es el nombre especificado por el usuario de la política que generó la falla. | jsonattack.JTP-SecureRequest.failed = true |
Ejemplo de respuesta de error
{
"fault": {
"faultstring": "JSONThreatProtection[JPT-SecureRequest]: Execution failed. reason: JSONThreatProtection[JTP-SecureRequest]: Exceeded object entry name length at line 2",
"detail": {
"errorcode": "steps.jsonthreatprotection.ExecutionFailed"
}
}
}Ejemplo de regla de falla
<FaultRule name="JSONThreatProtection Policy Faults">
<Step>
<Name>AM-CustomErrorResponse</Name>
<Condition>(fault.name Matches "ExecutionFailed") </Condition>
</Step>
<Condition>(jsonattack.JPT-SecureRequest.failed = true) </Condition>
</FaultRule>
Esquemas
Notas de uso
Al igual que los servicios basados en XML, las APIs que admiten la notación de objetos JavaScript (JSON) son vulnerables a ataques a nivel de contenido. Los ataques JSON simples intentan usar estructuras que sobrecargan los analizadores JSON para bloquear un servicio e inducir ataques de denegación de servicio a nivel de aplicación. Todos los ajustes son opcionales y deben configurarse para optimizar los requisitos de tu servicio frente a posibles vulnerabilidades.
Temas relacionados
Política RegularExpressionProtection