Questa pagina si applica ad Apigee e Apigee hybrid.
Visualizza la documentazione di
Apigee Edge.
Cosa
Riduce al minimo il rischio posto dagli attacchi a livello di contenuti consentendoti di specificare limiti per varie strutture JSON, come array e stringhe.
Queste norme sono estensibili e il loro utilizzo potrebbe avere implicazioni in termini di costi o di utilizzo, a seconda della licenza Apigee. Per informazioni sui tipi di criteri e sulle implicazioni di utilizzo, consulta Tipi di criteri.
Video: guarda un breve video per scoprire di più su come la policy JSONThreatProtection ti consente di proteggere le API dagli attacchi a livello di contenuti.
Video: guarda questo breve video sulla piattaforma API cross-cloud Apigee.
Riferimento elemento
Il riferimento all'elemento descrive gli elementi e gli attributi del criterio JSONThreatProtection.
<JSONThreatProtection async="false" continueOnError="false" enabled="true" name="JSON-Threat-Protection-1"> <DisplayName>JSONThreatProtection 1</DisplayName> <ArrayElementCount>20</ArrayElementCount> <ContainerDepth>10</ContainerDepth> <ObjectEntryCount>15</ObjectEntryCount> <ObjectEntryNameLength>50</ObjectEntryNameLength> <Source>request</Source> <StringValueLength>500</StringValueLength> </JSONThreatProtection>
Attributi <JSONThreatProtection>
<JSONThreatProtection async="false" continueOnError="false" enabled="true" name="JSON-Threat-Protection-1">
La tabella seguente descrive gli attributi comuni a tutti gli elementi principali dei criteri:
| Attributo | Descrizione | Predefinito | Presence |
|---|---|---|---|
name |
Il nome interno del criterio. Il valore dell'attributo Se vuoi, utilizza l'elemento |
N/D | Obbligatorio |
continueOnError |
Imposta su Imposta su |
falso | Facoltativo |
enabled |
Imposta su Imposta su |
true | Facoltativo |
async |
Questo attributo è stato ritirato. |
falso | Deprecato |
Elemento <DisplayName>
Da utilizzare insieme all'attributo name per etichettare il criterio nell'editor proxy dell'interfaccia utente di gestione con un nome diverso in linguaggio naturale.
<DisplayName>Policy Display Name</DisplayName>
| Predefinito |
N/D Se ometti questo elemento, viene utilizzato il valore dell'attributo |
|---|---|
| Presence | Facoltativo |
| Tipo | Stringa |
Elemento <ArrayElementCount>
Specifica il numero massimo di elementi consentiti in un array.
<ArrayElementCount>20</ArrayElementCount>
| Predefinito: | Se non specifichi questo elemento o se specifichi un numero intero negativo, il sistema non applica un limite. |
| Presenza: | Facoltativo |
| Tipo: | Numero intero |
Elemento <ContainerDepth>
Specifica la profondità massima di contenimento consentita, in cui i contenitori sono oggetti o array. Ad esempio, un array contenente un oggetto che contiene un oggetto comporterebbe una profondità di contenimento pari a 3.
<ContainerDepth>10</ContainerDepth>
| Predefinito: | Se non specifichi questo elemento o se specifichi un numero intero negativo, il sistema non applica alcun limite. |
| Presenza: | Facoltativo |
| Tipo: | Numero intero |
Elemento <ObjectEntryCount>
Specifica il numero massimo di voci consentite in un oggetto.
<ObjectEntryCount>15</ObjectEntryCount>
| Predefinito: | Se non specifichi questo elemento o se specifichi un numero intero negativo, il sistema non applica alcun limite. |
| Presenza: | Facoltativo |
| Tipo: | Numero intero |
Elemento <ObjectEntryNameLength>
Specifica la lunghezza massima della stringa consentita per il nome di una proprietà all'interno di un oggetto.
<ObjectEntryNameLength>50</ObjectEntryNameLength>
| Predefinito: | Se non specifichi questo elemento o se specifichi un numero intero negativo, il sistema non applica un limite. |
| Presenza: | Facoltativo |
| Tipo: | Numero intero |
Elemento <Source>
Messaggio da analizzare per rilevare attacchi al payload JSON. Questo valore è in genere impostato su
request, poiché in genere devi convalidare le richieste in entrata dalle app client.
Se impostato su message, questo elemento valuterà automaticamente il messaggio di richiesta
quando è collegato al flusso di richiesta e il messaggio di risposta quando è collegato al flusso di risposta.
<Source>request</Source>
| Predefinito: | richiesta |
| Presenza: | Facoltativo |
| Tipo: |
Stringa. Valori validi: request, response o message. |
Elemento <StringValueLength>
Specifica la lunghezza massima consentita per un valore stringa.
<StringValueLength>500</StringValueLength>
| Predefinito: | Se non specifichi questo elemento o se specifichi un numero intero negativo, il sistema non applica un limite. |
| Presenza: | Facoltativo |
| Tipo: | Numero intero |
Messaggi di errore
Questa sezione descrive i codici di errore e i messaggi di errore restituiti e le variabili di errore impostate da Apigee quando questo criterio attiva un errore. Queste informazioni sono importanti se stai sviluppando regole di errore per gestire gli errori. Per scoprire di più, consulta Informazioni importanti sugli errori relativi alle norme e Gestione dei guasti.
Errori di runtime
Questi errori possono verificarsi durante l'esecuzione del criterio.
| Codice guasto | Stato HTTP | Causa | Correggi |
|---|---|---|---|
steps.jsonthreatprotection.ExecutionFailed |
500 |
Le norme relative a JSONThreatProtection possono generare molti tipi diversi di errori ExecutionFailed.
La maggior parte di questi errori si verifica quando viene superata una soglia specifica impostata nel criterio. Questi
tipi di errori includono:
lunghezza del nome della voce dell'oggetto,
numero di voci dell'oggetto,
numero di elementi dell'array,
profondità del contenitore,
lunghezza del valore della stringa.
Questo errore si verifica anche quando il payload contiene un
oggetto JSON non valido.
|
build |
steps.jsonthreatprotection.SourceUnavailable |
500 |
Questo errore si verifica se la variabile message
specificata nell'elemento <Source> è:
|
build |
steps.jsonthreatprotection.NonMessageVariable |
500 |
Questo errore si verifica se l'elemento <Source> è impostato su una variabile che
non è di tipo
message.
|
build |
Errori di deployment
Nessuno.
Variabili di errore
Queste variabili vengono impostate quando questo criterio attiva un errore. Per ulteriori informazioni, consulta Informazioni importanti sugli errori relativi alle norme.
| Variabili | Dove | Esempio |
|---|---|---|
fault.name="fault_name" |
fault_name è il nome dell'errore, come indicato nella tabella Errori di runtime sopra. Il nome dell'errore è l'ultima parte del codice dell'errore. | fault.name Matches "SourceUnavailable" |
jsonattack.policy_name.failed |
policy_name è il nome specificato dall'utente del criterio che ha generato l'errore. | jsonattack.JTP-SecureRequest.failed = true |
Esempio di risposta di errore
{
"fault": {
"faultstring": "JSONThreatProtection[JPT-SecureRequest]: Execution failed. reason: JSONThreatProtection[JTP-SecureRequest]: Exceeded object entry name length at line 2",
"detail": {
"errorcode": "steps.jsonthreatprotection.ExecutionFailed"
}
}
}Esempio di regola di errore
<FaultRule name="JSONThreatProtection Policy Faults">
<Step>
<Name>AM-CustomErrorResponse</Name>
<Condition>(fault.name Matches "ExecutionFailed") </Condition>
</Step>
<Condition>(jsonattack.JPT-SecureRequest.failed = true) </Condition>
</FaultRule>
Schemi
Note sull'utilizzo
Come i servizi basati su XML, le API che supportano JavaScript Object Notation (JSON) sono vulnerabili agli attacchi a livello di contenuti. I semplici attacchi JSON tentano di utilizzare strutture che sovraccaricano i parser JSON per bloccare un servizio e indurre attacchi DoS a livello di applicazione. Tutte le impostazioni sono facoltative e devono essere ottimizzate per soddisfare i requisiti del servizio in base alle potenziali vulnerabilità.
Argomenti correlati
Norme RegularExpressionProtection