Questa pagina si applica a Apigee e Apigee ibrido.
Visualizza la documentazione di
Apigee Edge.
Cosa
Riduce al minimo il rischio rappresentato dagli attacchi a livello di contenuto consentendoti di specificare limiti per varie strutture JSON, come array e stringhe.
Questo criterio è un criterio estendibile e il suo utilizzo potrebbe avere implicazioni in termini di costi o utilizzo, a seconda della licenza Apigee. Per informazioni sui tipi di criteri e sulle implicazioni per l'utilizzo, consulta la pagina Tipi di criteri.
Video:guarda un breve video per saperne di più su come il criterio JSONThreatProtection consenta di proteggere le API da attacchi a livello di contenuti.
Video: guarda questo breve video sulla piattaforma API cross-cloud Apigee.
Riferimento elemento
Il riferimento agli elementi descrive gli elementi e gli attributi del criterio JSONThreatProtection.
<JSONThreatProtection async="false" continueOnError="false" enabled="true" name="JSON-Threat-Protection-1"> <DisplayName>JSONThreatProtection 1</DisplayName> <ArrayElementCount>20</ArrayElementCount> <ContainerDepth>10</ContainerDepth> <ObjectEntryCount>15</ObjectEntryCount> <ObjectEntryNameLength>50</ObjectEntryNameLength> <Source>request</Source> <StringValueLength>500</StringValueLength> </JSONThreatProtection>
Attributi <JSONThreatProtection>
<JSONThreatProtection async="false" continueOnError="false" enabled="true" name="JSON-Threat-Protection-1">
La tabella seguente descrive gli attributi comuni a tutti gli elementi principali dei criteri:
Attributo | Descrizione | Predefinito | Presenza |
---|---|---|---|
name |
Il nome interno della norma. Il valore dell'attributo Facoltativamente, utilizza l'elemento |
N/A | Obbligatorio |
continueOnError |
Impostalo su Imposta su |
false | Facoltativo |
enabled |
Imposta il criterio su Impostala su |
true | Facoltativo |
async |
Questo attributo è obsoleto. |
false | Deprecata |
Elemento <DisplayName>
Utilizzalo in aggiunta all'attributo name
per etichettare il criterio nell'editor proxy dell'interfaccia utente di gestione con un nome diverso in linguaggio naturale.
<DisplayName>Policy Display Name</DisplayName>
Predefinito |
N/A Se ometti questo elemento, viene utilizzato il valore dell'attributo |
---|---|
Presenza | Facoltativo |
Tipo | Stringa |
Elemento <ArrayElementCount>
Specifica il numero massimo di elementi consentiti in un array.
<ArrayElementCount>20</ArrayElementCount>
Predefinita: | Se non specifichi questo elemento o se indichi un numero intero negativo, il sistema non applica alcun limite. |
Presenza: | Facoltativo |
Tipo: | Integer |
Elemento <ContainerDepth>
Specifica la profondità di contenimento massima consentita, in cui i container sono oggetti o array. Ad esempio, un array che contiene un oggetto che contiene un oggetto determina una profondità di contenimento pari a 3.
<ContainerDepth>10</ContainerDepth>
Predefinita: | Se non specifichi questo elemento o se indichi un numero intero negativo, il sistema non applica alcun limite. |
Presenza: | Facoltativo |
Tipo: | Integer |
Elemento <ObjectEntryCount>
Specifica il numero massimo di voci consentite in un oggetto.
<ObjectEntryCount>15</ObjectEntryCount>
Predefinita: | Se non specifichi questo elemento o se indichi un numero intero negativo, il sistema non applica alcun limite. |
Presenza: | Facoltativo |
Tipo: | Integer |
Elemento <ObjectEntryNameLength>
Specifica la lunghezza massima della stringa consentita per il nome di una proprietà all'interno di un oggetto.
<ObjectEntryNameLength>50</ObjectEntryNameLength>
Predefinita: | Se non specifichi questo elemento o se indichi un numero intero negativo, il sistema non applica alcun limite. |
Presenza: | Facoltativo |
Tipo: | Integer |
Elemento <Source>
Messaggio da verificare per gli attacchi di payload JSON. In genere questo valore è impostato su request
, perché di solito devi convalidare le richieste in entrata dalle app client.
Se impostato su message
, questo elemento valuterà automaticamente il messaggio di richiesta quando è collegato al flusso di richiesta e il messaggio di risposta quando è collegato al flusso di risposta.
<Source>request</Source>
Predefinita: | request |
Presenza: | Facoltativo |
Tipo: |
Stringa. Valori validi: richiesta, risposta o messaggio. |
Elemento <StringValueLength>
Specifica la lunghezza massima consentita per un valore stringa.
<StringValueLength>500</StringValueLength>
Predefinita: | Se non specifichi questo elemento o se indichi un numero intero negativo, il sistema non applica alcun limite. |
Presenza: | Facoltativo |
Tipo: | Integer |
Messaggi di errore
Questa sezione descrive i codici e i messaggi di errore restituiti e le variabili di errore impostate da Apigee quando questo criterio attiva un errore. Queste informazioni sono importanti per sapere se si stanno sviluppando regole di errore per gestire gli errori. Per scoprire di più, consulta gli articoli Cosa devi sapere sugli errori relativi alle norme e Gestione degli errori.
Errori di runtime
Questi errori possono verificarsi quando il criterio viene eseguito.
Codice di errore | Stato HTTP | Causa | Correggi |
---|---|---|---|
steps.jsonthreatprotection.ExecutionFailed |
500 |
Il criterio JSONThreatProtection può generare molti tipi diversi di errori ExecutionFailed .
La maggior parte di questi errori si verifica quando viene superata una soglia specifica impostata nel criterio. Questi
tipi di errori includono:
lunghezza del nome della voce di oggetto,
conteggio delle voci dell'oggetto,
conteggio degli elementi dell'array,
profondità del container,
lunghezza del valore della stringa stringa.
Questo errore si verifica anche quando il payload contiene un oggetto JSON non valido.
|
build |
steps.jsonthreatprotection.SourceUnavailable |
500 |
Questo errore si verifica se la variabile message
specificata nell'elemento <Source> è:
|
build |
steps.jsonthreatprotection.NonMessageVariable |
500 |
Questo errore si verifica se l'elemento <Source> è impostato su una variabile non di tipo message.
|
build |
Errori di deployment
Nessuno.
Variabili di errore
Queste variabili vengono impostate quando questo criterio attiva un errore. Per maggiori informazioni, consulta la sezione Cosa devi sapere sugli errori relativi ai criteri.
Variabili | Dove | Esempio |
---|---|---|
fault.name="fault_name" |
fault_name è il nome dell'errore, come indicato nella tabella Errori di runtime riportata sopra. Il nome del guasto è l'ultima parte del codice di errore. | fault.name Matches "SourceUnavailable" |
jsonattack.policy_name.failed |
policy_name è il nome specificato dall'utente del criterio che ha generato l'errore. | jsonattack.JTP-SecureRequest.failed = true |
Esempio di risposta di errore
{ "fault": { "faultstring": "JSONThreatProtection[JPT-SecureRequest]: Execution failed. reason: JSONThreatProtection[JTP-SecureRequest]: Exceeded object entry name length at line 2", "detail": { "errorcode": "steps.jsonthreatprotection.ExecutionFailed" } } }
Esempio di regola di errore
<FaultRule name="JSONThreatProtection Policy Faults">
<Step>
<Name>AM-CustomErrorResponse</Name>
<Condition>(fault.name Matches "ExecutionFailed") </Condition>
</Step>
<Condition>(jsonattack.JPT-SecureRequest.failed = true) </Condition>
</FaultRule>
Schema
Note sull'utilizzo
Come i servizi basati su XML, le API che supportano il formato JSON (JavaScript Object Notation) sono vulnerabili agli attacchi a livello di contenuti. Semplici attacchi JSON tentano di utilizzare strutture che sovraccaricano i parser JSON per arrestare l'arresto anomalo di un servizio e indurre attacchi denial-of-service a livello di applicazione. Tutte le impostazioni sono facoltative e devono essere ottimizzate per ottimizzare i requisiti dei servizi contro potenziali vulnerabilità.
Argomenti correlati
Criterio RegularExpressionProtection