Kebijakan JSONThreatProtection

Halaman ini berlaku untuk Apigee dan Apigee Hybrid.

Baca dokumentasi Apigee Edge.

ikon kebijakan

Apa

Meminimalkan risiko yang ditimbulkan oleh serangan tingkat konten dengan memungkinkan Anda menentukan batas pada berbagai struktur JSON, seperti array dan string.

Kebijakan ini merupakan Kebijakan yang dapat diperluas, dan penggunaan kebijakan ini mungkin memiliki implikasi biaya atau pemanfaatan, bergantung pada lisensi Apigee Anda. Untuk mengetahui informasi tentang jenis kebijakan dan implikasi penggunaan, lihat Jenis kebijakan.

Video: Tonton video singkat untuk mempelajari lebih lanjut bagaimana kebijakan JSONThreatProtection memungkinkan Anda mengamankan API dari serangan tingkat konten.

Video: Tonton video singkat ini tentang platform API lintas cloud Apigee.

Referensi elemen

Referensi elemen menjelaskan elemen dan atribut kebijakan JSONThreatProtection.

<JSONThreatProtection async="false" continueOnError="false" enabled="true" name="JSON-Threat-Protection-1">
   <DisplayName>JSONThreatProtection 1</DisplayName>
   <ArrayElementCount>20</ArrayElementCount>
   <ContainerDepth>10</ContainerDepth>
   <ObjectEntryCount>15</ObjectEntryCount>
   <ObjectEntryNameLength>50</ObjectEntryNameLength>
   <Source>request</Source>
   <StringValueLength>500</StringValueLength>
</JSONThreatProtection>

Atribut <JSONThreatProtection>

<JSONThreatProtection async="false" continueOnError="false" enabled="true" name="JSON-Threat-Protection-1">

Tabel berikut menjelaskan atribut yang sama untuk semua elemen induk kebijakan:

Atribut Deskripsi Default Kehadiran
name

Nama internal kebijakan. Nilai atribut name dapat berisi huruf, angka, spasi, tanda hubung, garis bawah, dan titik. Nilai ini tidak boleh melebihi 255 karakter.

Atau, gunakan elemen <DisplayName> untuk memberi label kebijakan di editor proxy UI pengelolaan dengan nama natural-language yang berbeda.

 T/A Diperlukan
continueOnError

Setel ke false untuk menampilkan error jika kebijakan gagal. Ini adalah perilaku yang wajar untuk sebagian besar kebijakan.

Setel ke true agar eksekusi alur tetap berlanjut bahkan setelah kebijakan gagal. Lihat juga:

 false Opsional
enabled

Setel ke true untuk menerapkan kebijakan.

Setel ke false untuk menonaktifkan kebijakan. Kebijakan tidak akan diterapkan meskipun tetap melekat pada alur.

 true Opsional
async

Atribut ini sudah tidak digunakan lagi.

 false Tidak digunakan lagi

Elemen <DisplayName>

Gunakan selain atribut name untuk memberi label kebijakan di editor proxy UI pengelolaan dengan nama natural-language yang berbeda.

<DisplayName>Policy Display Name</DisplayName>
Default

T/A

Jika Anda menghapus elemen ini, nilai atribut name kebijakan akan digunakan.
Kehadiran Opsional
Jenis String

Elemen <ArrayElementCount>

Menentukan jumlah maksimum elemen yang diizinkan dalam array.

<ArrayElementCount>20</ArrayElementCount>
Default: Jika Anda tidak menentukan elemen ini, atau menentukan bilangan bulat negatif, sistem tidak akan menerapkan batasan.
Kehadiran: Opsional
Jenis: Bilangan bulat

Elemen <ContainerDepth>

Menentukan kedalaman pembatasan maksimum yang diizinkan, dengan penampung berupa objek atau array. Misalnya, array yang berisi objek yang berisi objek akan menghasilkan kedalaman pembatasan sebesar 3.

<ContainerDepth>10</ContainerDepth>
Default: Jika Anda tidak menentukan elemen ini, atau menentukan bilangan bulat negatif, sistem tidak akan menerapkan batas apa pun.
Kehadiran: Opsional
Jenis: Bilangan bulat

Elemen <ObjectEntryCount>

Menentukan jumlah entri maksimum yang diizinkan dalam sebuah objek.

<ObjectEntryCount>15</ObjectEntryCount>
Default: Jika Anda tidak menentukan elemen ini, atau menentukan bilangan bulat negatif, sistem tidak akan menerapkan batas apa pun.
Kehadiran: Opsional
Jenis: Bilangan bulat

Elemen <ObjectEntryNameLength>

Menentukan panjang string maksimum yang diizinkan untuk nama properti dalam sebuah objek.

<ObjectEntryNameLength>50</ObjectEntryNameLength>
Default: Jika Anda tidak menentukan elemen ini, atau menentukan bilangan bulat negatif, sistem tidak akan menerapkan batasan.
Kehadiran: Opsional
Jenis: Bilangan bulat

Elemen <Source>

Pesan yang akan disaring untuk serangan payload JSON. Nilai ini paling sering ditetapkan ke request, karena Anda biasanya harus memvalidasi permintaan masuk dari aplikasi klien. Jika ditetapkan ke message, elemen ini akan otomatis mengevaluasi pesan permintaan saat dilampirkan ke alur permintaan dan pesan respons saat dilampirkan ke alur respons.

<Source>request</Source>
Default: permintaan
Kehadiran: Opsional
Jenis:

String.

Nilai valid: permintaan, respons, atau pesan.

Elemen <StringValueLength>

Menentukan panjang maksimum yang diizinkan untuk nilai string.

<StringValueLength>500</StringValueLength>
Default: Jika Anda tidak menentukan elemen ini, atau menentukan bilangan bulat negatif, sistem tidak akan menerapkan batasan.
Kehadiran: Opsional
Jenis: Bilangan bulat

Referensi error

Bagian ini menjelaskan kode kesalahan dan pesan error yang ditampilkan dan variabel kesalahan yang disetel oleh Apigee saat kebijakan ini memicu error. Informasi ini penting untuk diketahui apakah Anda mengembangkan aturan kesalahan untuk menangani kesalahan. Untuk mempelajari lebih lanjut, lihat Hal yang perlu Anda ketahui tentang error kebijakan dan Menangani kesalahan.

Error runtime

Error ini dapat terjadi saat kebijakan dieksekusi.

Kode kesalahan Status HTTP Penyebab Perbaikan
steps.jsonthreatprotection.ExecutionFailed 500 Kebijakan JSONThreatProtection dapat menampilkan berbagai jenis error ExecutionFailed. Sebagian besar error ini terjadi saat nilai minimum tertentu yang ditetapkan dalam kebijakan terlampaui. Jenis error ini mencakup: panjang nama entri objek, jumlah entri objek, jumlah elemen array, kedalaman container, panjang nilai string string. Error ini juga terjadi jika payload berisi objek JSON yang tidak valid.
steps.jsonthreatprotection.SourceUnavailable 500 Error ini terjadi jika variabel message yang ditentukan dalam elemen <Source> adalah:
  • Di luar cakupan (tidak tersedia di alur spesifik tempat kebijakan sedang dijalankan)
  • Bukan salah satu dari nilai request, response, atau message yang valid
steps.jsonthreatprotection.NonMessageVariable 500 Error ini terjadi jika elemen <Source> ditetapkan ke variabel yang bukan jenis pesan.

Error saat deployment

Tidak ada.

Variabel kesalahan

Variabel ini ditetapkan saat kebijakan ini memicu error. Untuk informasi selengkapnya, lihat Yang perlu Anda ketahui tentang error kebijakan.

Variabel Dari mana Contoh
fault.name="fault_name" fault_name adalah nama kesalahan, seperti yang tercantum dalam tabel Error runtime di atas. Nama kesalahan adalah bagian terakhir dari kode kesalahan. fault.name Matches "SourceUnavailable"
jsonattack.policy_name.failed policy_name adalah nama kebijakan yang ditentukan pengguna yang menampilkan kesalahan. jsonattack.JTP-SecureRequest.failed = true

Contoh respons error

{
  "fault": {
    "faultstring": "JSONThreatProtection[JPT-SecureRequest]: Execution failed. reason: JSONThreatProtection[JTP-SecureRequest]: Exceeded object entry name length at line 2",
    "detail": {
      "errorcode": "steps.jsonthreatprotection.ExecutionFailed"
    }
  }
}

Contoh aturan kesalahan

<FaultRule name="JSONThreatProtection Policy Faults">
    <Step>
        <Name>AM-CustomErrorResponse</Name>
        <Condition>(fault.name Matches "ExecutionFailed") </Condition>
    </Step>
    <Condition>(jsonattack.JPT-SecureRequest.failed = true) </Condition>
</FaultRule>

Skema

Catatan penggunaan

Seperti layanan berbasis XML, API yang mendukung notasi objek JavaScript (JSON) rentan terhadap serangan tingkat konten. Serangan JSON sederhana mencoba menggunakan struktur yang membanjiri parser JSON untuk menimbulkan error pada layanan dan menyebabkan serangan denial-of-service tingkat aplikasi. Semua setelan bersifat opsional dan harus disesuaikan untuk mengoptimalkan persyaratan layanan Anda terhadap potensi kerentanan.

Topik terkait

Kebijakan JSONtoXML

Kebijakan XMLThreatProtection

Kebijakan RegularExpressionProtection