Norme di JSONThreatProtection

Questa pagina si applica ad Apigee e Apigee hybrid.

Visualizza la documentazione di Apigee Edge.

icona delle norme

Cosa

Riduci al minimo il rischio rappresentato dagli attacchi a livello di contenuti consentendoti di specificare limiti per varie strutture JSON, come array e stringhe.

Questo criterio è un criterio estensibile e il suo utilizzo potrebbe comportare implicazioni in termini di costi o utilizzo, a seconda della licenza Apigee. Per informazioni sui tipi di criteri e sulle implicazioni per l'utilizzo, consulta Tipi di criteri.

Video: guarda un breve video per scoprire di più su come il criterio JSONThreatProtection ti consente di proteggere le API dagli attacchi a livello di contenuti.

Video: guarda questo breve video sulla piattaforma di API cross-cloud Apigee.

Riferimento elemento

Il riferimento all'elemento descrive gli elementi e gli attributi del criterio JSONThreatProtection.

<JSONThreatProtection async="false" continueOnError="false" enabled="true" name="JSON-Threat-Protection-1">
   <DisplayName>JSONThreatProtection 1</DisplayName>
   <ArrayElementCount>20</ArrayElementCount>
   <ContainerDepth>10</ContainerDepth>
   <ObjectEntryCount>15</ObjectEntryCount>
   <ObjectEntryNameLength>50</ObjectEntryNameLength>
   <Source>request</Source>
   <StringValueLength>500</StringValueLength>
</JSONThreatProtection>

Attributi <JSONThreatProtection>

<JSONThreatProtection async="false" continueOnError="false" enabled="true" name="JSON-Threat-Protection-1"> 

La tabella seguente descrive gli attributi comuni a tutti gli elementi principali dei criteri:

Attributo Descrizione Predefinito Presenza
name

Il nome interno del criterio. Il valore dell'attributo name può contenere lettere, numeri, spazi, trattini, trattini bassi e punti. Questo valore non può superare i 255 caratteri.

Se vuoi, utilizza l'elemento <DisplayName> per etichettare il criterio nell'editor proxy dell'interfaccia utente di gestione con un nome diverso in linguaggio naturale.

N/D Obbligatorio
continueOnError

Imposta su false per restituire un errore quando un criterio non va a buon fine. Questo è un comportamento previsto per la maggior parte dei criteri.

Imposta su true per continuare l'esecuzione del flusso anche dopo un fallimento del criterio. Vedi anche:

falso Facoltativo
enabled

Imposta su true per applicare il criterio.

Imposta false per disattivare il criterio. Il criterio non verrà applicato anche se rimane collegato a un flusso.

true Facoltativo
async

Questo attributo è stato ritirato.

falso Ritirato

Elemento <DisplayName>

Da utilizzare insieme all'attributo name per etichettare il criterio nell'editor proxy dell'interfaccia utente di gestione con un nome diverso in linguaggio naturale.

<DisplayName>Policy Display Name</DisplayName>
Predefinito

N/D

Se ometti questo elemento, viene utilizzato il valore dell'attributo name del criterio.

Presenza Facoltativo
Tipo Stringa

Elemento <ArrayElementCount>

Specifica il numero massimo di elementi consentiti in un array.

<ArrayElementCount>20</ArrayElementCount>
Valore predefinito: Se non specifichi questo elemento o se specifichi un numero intero negativo, il sistema non applica un limite.
Presenza: Facoltativo
Tipo: Numero intero

Elemento <ContainerDepth>

Specifica la profondità massima consentita del contenimento, dove i contenitori sono oggetti o array. Ad esempio, un array contenente un oggetto che contiene un oggetto avrà una profondità di contenimento di 3.

<ContainerDepth>10</ContainerDepth>
Valore predefinito: Se non specifichi questo elemento o se specifichi un numero intero negativo, il sistema non applica alcun limite.
Presenza: Facoltativo
Tipo: Numero intero

Elemento <ObjectEntryCount>

Specifica il numero massimo di voci consentite in un oggetto.

<ObjectEntryCount>15</ObjectEntryCount>
Valore predefinito: Se non specifichi questo elemento o se specifichi un numero intero negativo, il sistema non applica alcun limite.
Presenza: Facoltativo
Tipo: Numero intero

Elemento <ObjectEntryNameLength>

Specifica la lunghezza massima consentita per un nome di proprietà all'interno di un oggetto.

<ObjectEntryNameLength>50</ObjectEntryNameLength>
Valore predefinito: Se non specifichi questo elemento o se specifichi un numero intero negativo, il sistema non applica un limite.
Presenza: Facoltativo
Tipo: Numero intero

Elemento <Source>

Messaggio da sottoporre a screening per rilevare attacchi di payload JSON. In genere viene impostato su request, poiché in genere dovrai convalidare le richieste in entrata dalle app client. Se impostato su message, questo elemento valuterà automaticamente il messaggio di richiesta se allegato al flusso di richiesta e il messaggio di risposta se allegato al flusso di risposta.

<Source>request</Source>
Valore predefinito: richiesta
Presenza: Facoltativo
Tipo:

Stringa.

Valori validi: request, response o message.

Elemento <StringValueLength>

Specifica la lunghezza massima consentita per un valore di stringa.

<StringValueLength>500</StringValueLength>
Valore predefinito: Se non specifichi questo elemento o se specifichi un numero intero negativo, il sistema non applica un limite.
Presenza: Facoltativo
Tipo: Numero intero

Messaggi di errore

Questa sezione descrive i codici di errore e i messaggi di errore restituiti e le variabili di errore impostate da Apigee quando questo criterio attiva un errore. Queste informazioni sono importanti se stai sviluppando regole di errore per gestire gli errori. Per scoprire di più, consulta Informazioni importanti sugli errori relativi alle norme e Gestione dei guasti.

Errori di runtime

Questi errori possono verificarsi durante l'esecuzione del criterio.

Codice guasto Stato HTTP Causa Correggi
steps.jsonthreatprotection.ExecutionFailed 500 Le norme relative a JSONThreatProtection possono generare molti tipi diversi di errori ExecutionFailed. La maggior parte di questi errori si verifica quando viene superata una soglia specifica impostata nel criterio. Questi tipi di errori includono: lunghezza del nome della voce dell'oggetto, numero di voci dell'oggetto, numero di elementi dell'array, profondità del contenitore, lunghezza del valore della stringa. Questo errore si verifica anche quando il payload contiene un oggetto JSON non valido.
steps.jsonthreatprotection.SourceUnavailable 500 Questo errore si verifica se la variabile message specificata nell'elemento <Source> è:
  • Al di fuori dell'ambito (non disponibile nel flusso specifico in cui viene eseguito il criterio)
  • Non è uno dei valori validi request, response o message
steps.jsonthreatprotection.NonMessageVariable 500 Questo errore si verifica se l'elemento <Source> è impostato su una variabile che non è di tipo message.

Errori di deployment

Nessuno.

Variabili di errore

Queste variabili vengono impostate quando questo criterio attiva un errore. Per ulteriori informazioni, consulta Informazioni importanti sugli errori relativi alle norme.

Variabili Dove Esempio
fault.name="fault_name" fault_name è il nome dell'errore, come indicato nella tabella Errori di runtime sopra. Il nome dell'errore è l'ultima parte del codice dell'errore. fault.name Matches "SourceUnavailable"
jsonattack.policy_name.failed policy_name è il nome specificato dall'utente del criterio che ha generato l'errore. jsonattack.JTP-SecureRequest.failed = true

Esempio di risposta di errore

{
  "fault": {
    "faultstring": "JSONThreatProtection[JPT-SecureRequest]: Execution failed. reason: JSONThreatProtection[JTP-SecureRequest]: Exceeded object entry name length at line 2",
    "detail": {
      "errorcode": "steps.jsonthreatprotection.ExecutionFailed"
    }
  }
}

Esempio di regola di errore

<FaultRule name="JSONThreatProtection Policy Faults">
    <Step>
        <Name>AM-CustomErrorResponse</Name>
        <Condition>(fault.name Matches "ExecutionFailed") </Condition>
    </Step>
    <Condition>(jsonattack.JPT-SecureRequest.failed = true) </Condition>
</FaultRule>

Schemi

Note sull'utilizzo

Come i servizi basati su XML, le API che supportano la notazione oggetti JavaScript (JSON) sono vulnerabili agli attacchi a livello di contenuti. Gli attacchi JSON semplici tentano di utilizzare strutture che sovraccaricano i parser JSON per far arrestare in modo anomalo un servizio e indurre attacchi di negazione del servizio a livello di applicazione. Tutte le impostazioni sono facoltative e devono essere ottimizzate per proteggere i requisiti di servizio da potenziali vulnerabilità.

Argomenti correlati

Criteri JSONtoXML

Criteri XMLThreatProtection

Norme relative a RegularExpressionProtection