Questa pagina si applica a Apigee e Apigee ibridi.
Visualizza
documentazione di Apigee Edge.
Cosa
Riduci al minimo il rischio rappresentato dagli attacchi a livello di contenuti consentendoti di specificare limiti per varie strutture JSON, come array e stringhe.
Questo criterio è una norma estendibile e il suo utilizzo potrebbe comportare costi o di utilizzo delle applicazioni, a seconda della licenza Apigee. Per informazioni sui tipi di norme e le implicazioni per l'utilizzo, consulta Tipi di criteri.
Video: guarda un breve video per ulteriori informazioni su come la Il criterio JSONThreatProtection consente di proteggere le API da attacchi a livello di contenuto.
Video: guarda questo breve video sulla piattaforma API cross-cloud Apigee.
Riferimento elemento
Il riferimento all'elemento descrive gli elementi e gli attributi della protezione JSONThreatProtection .
<JSONThreatProtection async="false" continueOnError="false" enabled="true" name="JSON-Threat-Protection-1"> <DisplayName>JSONThreatProtection 1</DisplayName> <ArrayElementCount>20</ArrayElementCount> <ContainerDepth>10</ContainerDepth> <ObjectEntryCount>15</ObjectEntryCount> <ObjectEntryNameLength>50</ObjectEntryNameLength> <Source>request</Source> <StringValueLength>500</StringValueLength> </JSONThreatProtection>
<JSONThreatProtection> attributi
<JSONThreatProtection async="false" continueOnError="false" enabled="true" name="JSON-Threat-Protection-1">
La tabella seguente descrive gli attributi comuni a tutti gli elementi principali del criterio:
| Attributo | Descrizione | Predefinito | Presenza |
|---|---|---|---|
name |
Il nome interno del criterio. Il valore dell'attributo Se vuoi, puoi utilizzare l'elemento |
N/D | Obbligatorio |
continueOnError |
Imposta il valore su Imposta su |
falso | Facoltativo |
enabled |
Imposta il valore su Imposta |
true | Facoltativo |
async |
Questo attributo è obsoleto. |
falso | Ritirato |
<DisplayName> elemento
Da utilizzare in aggiunta all'attributo name per etichettare il criterio in
editor proxy della UI di gestione con un nome diverso e in linguaggio naturale.
<DisplayName>Policy Display Name</DisplayName>
| Predefinito |
N/D Se ometti questo elemento, il valore dell'attributo |
|---|---|
| Presenza | Facoltativo |
| Tipo | Stringa |
<ArrayElementCount> elemento
Specifica il numero massimo di elementi consentiti in un array.
<ArrayElementCount>20</ArrayElementCount>
| Predefinita: | Se non specifichi questo elemento o se indichi un numero intero negativo, il sistema non applica un limite. |
| Presenza: | Facoltativo |
| Tipo: | Numero intero |
<ContainerDepth> elemento
Specifica la profondità di contenimento massima consentita, in cui i container sono oggetti o array. Ad esempio, un array contenente un oggetto che contiene un oggetto comporterebbe un contenimento profondità 3.
<ContainerDepth>10</ContainerDepth>
| Predefinita: | Se non specifichi questo elemento o se indichi un numero intero negativo, il sistema non applica alcun limite. |
| Presenza: | Facoltativo |
| Tipo: | Numero intero |
Elemento <ObjectEntryCount>
Specifica il numero massimo di voci consentite in un oggetto.
<ObjectEntryCount>15</ObjectEntryCount>
| Predefinita: | Se non specifichi questo elemento o se indichi un numero intero negativo, il sistema non applica alcun limite. |
| Presenza: | Facoltativo |
| Tipo: | Numero intero |
<ObjectEntryNameLength> elemento
Specifica la lunghezza massima della stringa consentita per il nome di una proprietà all'interno di un oggetto.
<ObjectEntryNameLength>50</ObjectEntryNameLength>
| Predefinita: | Se non specifichi questo elemento o se indichi un numero intero negativo, il sistema non applica un limite. |
| Presenza: | Facoltativo |
| Tipo: | Numero intero |
Elemento <Source>
Messaggio da verificare per gli attacchi di payload JSON. Il valore generalmente impostato è
request, poiché in genere occorre convalidare le richieste in entrata provenienti dalle app client.
Se impostato su message, questo elemento valuterà automaticamente il messaggio di richiesta
se allegato al flusso di richiesta e il messaggio di risposta se allegato al flusso di risposta.
<Source>request</Source>
| Predefinita: | richiesta |
| Presenza: | Facoltativo |
| Tipo: |
Stringa. Valori validi: richiesta, risposta o messaggio. |
<StringValueLength> elemento
Specifica la lunghezza massima consentita per un valore stringa.
<StringValueLength>500</StringValueLength>
| Valore predefinito: | Se non specifichi questo elemento o se indichi un numero intero negativo, il sistema non applica un limite. |
| Presenza: | Facoltativo |
| Tipo: | Numero intero |
Messaggi di errore
Questa sezione descrive i codici e i messaggi di errore restituiti, nonché le variabili di errore. impostate da Apigee quando questo criterio attiva un errore. È importante sapere se stai sviluppando regole di errore per per gestire gli errori. Per scoprire di più, consulta Informazioni importanti sugli errori relativi alle norme e Gestione dei guasti.
Errori di runtime
Questi errori possono verificarsi quando il criterio viene eseguito.
| Codice di errore | Stato HTTP | Causa | Correggi |
|---|---|---|---|
steps.jsonthreatprotection.ExecutionFailed |
500 |
Il criterio JSONThreatProtection può generare molti tipi diversi di errori ExecutionFailed.
La maggior parte di questi errori si verifica quando viene superata una soglia specifica impostata nel criterio. Questi
tipi di errori includono:
lunghezza del nome dell'elemento,
conteggio delle voci di oggetto,
numero di elementi array,
profondità del container,
lunghezza valore stringa stringa.
Questo errore si verifica anche quando il payload contiene
oggetto JSON non valido.
|
build |
steps.jsonthreatprotection.SourceUnavailable |
500 |
Questo errore si verifica se il messaggio
specificata nell'elemento <Source> è:
|
build |
steps.jsonthreatprotection.NonMessageVariable |
500 |
Questo errore si verifica se l'elemento <Source> è impostato su una variabile che
non è di tipo
messaggio.
|
build |
Errori di deployment
Nessuno.
Variabili di errore
Queste variabili vengono impostate quando il criterio attiva un errore. Per ulteriori informazioni, vedi Cosa devi sapere sugli errori relativi alle norme.
| Variabili | Dove | Esempio |
|---|---|---|
fault.name="fault_name" |
fault_name è il nome dell'errore, come elencato nella precedente tabella Errori di runtime. Il nome dell'errore è l'ultima parte del codice dell'errore. | fault.name Matches "SourceUnavailable" |
jsonattack.policy_name.failed |
policy_name è il nome specificato dall'utente del criterio che ha generato l'errore. | jsonattack.JTP-SecureRequest.failed = true |
Esempio di risposta di errore
{
"fault": {
"faultstring": "JSONThreatProtection[JPT-SecureRequest]: Execution failed. reason: JSONThreatProtection[JTP-SecureRequest]: Exceeded object entry name length at line 2",
"detail": {
"errorcode": "steps.jsonthreatprotection.ExecutionFailed"
}
}
}Esempio di regola di errore
<FaultRule name="JSONThreatProtection Policy Faults">
<Step>
<Name>AM-CustomErrorResponse</Name>
<Condition>(fault.name Matches "ExecutionFailed") </Condition>
</Step>
<Condition>(jsonattack.JPT-SecureRequest.failed = true) </Condition>
</FaultRule>
Schemi
Note sull'utilizzo
Come i servizi basati su XML, le API che supportano JSON (JavaScript Object Notation) sono vulnerabili alle attacchi a livello di contenuto. Gli attacchi JSON semplici tentano di utilizzare strutture che sovraccaricano i parser JSON per far arrestare in modo anomalo un servizio e indurre attacchi di negazione del servizio a livello di applicazione. Tutte le impostazioni sono facoltativa e deve essere ottimizzata per ottimizzare i requisiti dei servizi rispetto le vulnerabilità.
Argomenti correlati
Norme relative a RegularExpressionProtection