Questa pagina si applica a Apigee e Apigee ibridi.
Visualizza documentazione di Apigee Edge.
Cosa
Risolvi le vulnerabilità XML e riduci al minimo gli attacchi alla tua API. Facoltativamente, rileva il payload XML gli attacchi basati su limiti configurati. Filtra le minacce XML utilizzando i seguenti approcci:
- Valuta i contenuti del messaggio per parole chiave o pattern specifici da escludere
- Rileva i messaggi corrotti o in formato non corretto prima che vengano analizzati
Questo criterio è una norma estendibile e il suo utilizzo potrebbe comportare costi o di utilizzo delle applicazioni, a seconda della licenza Apigee. Per informazioni sui tipi di norme e le implicazioni per l'utilizzo, consulta Tipi di criteri.
Guarda un breve video sulla protezione dalle minacce
Video: guarda un breve video sui criteri di protezione dalle minacce dal Video di quattro minuti per gli sviluppatori (4MV4D).
Riferimento elemento
Il riferimento all'elemento descrive gli elementi e gli attributi della protezione XMLThreatProtection .
<XMLThreatProtection async="false" continueOnError="false" enabled="true" name="XML-Threat-Protection-1"> <DisplayName>XML Threat Protection 1</DisplayName> <NameLimits> <Element>10</Element> <Attribute>10</Attribute> <NamespacePrefix>10</NamespacePrefix> <ProcessingInstructionTarget>10</ProcessingInstructionTarget> </NameLimits> <Source>request</Source> <StructureLimits> <NodeDepth>5</NodeDepth> <AttributeCountPerElement>2</AttributeCountPerElement> <NamespaceCountPerElement>3</NamespaceCountPerElement> <ChildCount includeComment="true" includeElement="true" includeProcessingInstruction="true" includeText="true">3</ChildCount> </StructureLimits> <ValueLimits> <Text>15</Text> <Attribute>10</Attribute> <NamespaceURI>10</NamespaceURI> <Comment>10</Comment> <ProcessingInstructionData>10</ProcessingInstructionData> </ValueLimits> </XMLThreatProtection>
<XMLThreatProtection> attributi
<XMLThreatProtection async="false" continueOnError="false" enabled="true" name="XML-Threat-Protection-1">
La tabella seguente descrive gli attributi comuni a tutti gli elementi principali dei criteri:
Attributo | Descrizione | Predefinito | Presenza |
---|---|---|---|
name |
Il nome interno della norma. Il valore dell'attributo Facoltativamente, utilizza l'elemento |
N/A | Obbligatorio |
continueOnError |
Impostalo su Imposta su |
false | Facoltativo |
enabled |
Imposta il criterio su Impostala su |
true | Facoltativo |
async |
Questo attributo è obsoleto. |
false | Deprecata |
Elemento <DisplayName>
Utilizzalo in aggiunta all'attributo name
per etichettare il criterio nell'editor proxy dell'interfaccia utente di gestione con un nome diverso in linguaggio naturale.
<DisplayName>Policy Display Name</DisplayName>
Predefinito |
N/A Se ometti questo elemento, viene utilizzato il valore dell'attributo |
---|---|
Presenza | Facoltativo |
Tipo | Stringa |
<NameLimits> elemento
Specifica i limiti di caratteri che devono essere controllati e applicati dal criterio.
<NameLimits> <Element>10</Element> <Attribute>10</Attribute> <NamespacePrefix>10</NamespacePrefix> <ProcessingInstructionTarget>10</ProcessingInstructionTarget> </NameLimits>
Predefinita: | N/D |
Presenza: | Facoltativo |
Tipo: | N/D |
<NameLimits>/<Element> elemento
Specifica un limite al numero massimo di caratteri consentiti in qualsiasi nome di elemento nel file XML documento.
Considera ad esempio il seguente XML:
<book category="WEB"> <title>Learning XML</title> <author>Erik T. Ray</author> <year>2003</year> </book>
Quando analizzi il codice XML riportato sopra, il valore dell'elemento <Element>
nel criterio
lo snippet seguente convaliderà i nomi degli elementi (book
, title
,
I valori author
e year)
non superano i 10
caratteri.
<NameLimits> <Element>10</Element> <Attribute>10</Attribute> <NamespacePrefix>10</NamespacePrefix> <ProcessingInstructionTarget>10</ProcessingInstructionTarget> </NameLimits>
Predefinita: | Se non specifichi un limite, il sistema applica un valore predefinito di -1 .
che il sistema equivale a nessun limite. |
Presenza: | Facoltativo |
Tipo: | Numero intero |
<NameLimits>/<Attribute> elemento
Specifica un limite al numero massimo di caratteri consentiti in qualsiasi nome di attributo nel Documento XML.
Considera ad esempio il seguente XML:
<book category="WEB"> <title>Learning XML</title> <author>Erik T. Ray</author> <year>2003</year> </book>
Quando analizzi il codice XML riportato sopra, il valore dell'elemento <Attribute>
nel criterio
lo snippet di seguito convaliderà che il nome dell'attributo category
non supera
10
caratteri.
<NameLimits> <Element>10</Element> <Attribute>10</Attribute> <NamespacePrefix>10</NamespacePrefix> <ProcessingInstructionTarget>10</ProcessingInstructionTarget> </NameLimits>
Predefinita: | Se non specifichi un limite, il sistema applica un valore predefinito di -1 .
che il sistema equivale a nessun limite. |
Presenza: | Facoltativo |
Tipo: | Numero intero |
<NameLimits>/<NamespacePrefix> elemento
Specifica un limite per il numero massimo di caratteri consentiti nel prefisso dello spazio dei nomi nella Documento XML.
Considera ad esempio il seguente XML:
<ns1:myelem xmlns:ns1="http://ns1.com"/>
Quando analizzi il codice XML riportato sopra, il valore dell'elemento <NamespacePrefix>
nel
lo snippet del criterio riportato di seguito verificherà che il prefisso dello spazio dei nomi ns1
non superi
10
caratteri.
<NameLimits> <Element>10</Element> <Attribute>10</Attribute> <NamespacePrefix>10</NamespacePrefix> <ProcessingInstructionTarget>10</ProcessingInstructionTarget> </NameLimits>
Predefinita: | Se non specifichi un limite, il sistema applica un valore predefinito di -1 .
che il sistema equivale a nessun limite. |
Presenza: | Facoltativo |
Tipo: | Numero intero |
<NameLimits>/<ProcessingInstructionTarget> elemento
Specifica un limite per il numero massimo di caratteri consentiti nel target di qualsiasi istruzioni per l'elaborazione nel documento XML.
Considera ad esempio il seguente XML:
<?xml-stylesheet type="text/xsl" href="style.xsl"?>
Quando analizzi il codice XML riportato sopra, l'elemento <ProcessingInstructionTarget>
nello snippet del criterio riportato di seguito confermerà che il target dell'istruzione di elaborazione
xml-stylesheet
non supera 10
caratteri.
<NameLimits> <Element>10</Element> <Attribute>10</Attribute> <NamespacePrefix>10</NamespacePrefix> <ProcessingInstructionTarget>10</ProcessingInstructionTarget> </NameLimits>
Predefinita: | Se non specifichi un limite, il sistema applica un valore predefinito di -1 .
che il sistema equivale a nessun limite. |
Presenza: | Facoltativo |
Tipo: | Numero intero |
<Source> elemento
Messaggio da verificare per gli attacchi di payload XML. Il valore generalmente impostato è
request
, poiché in genere occorre convalidare le richieste in entrata provenienti dalle app client.
Se impostato su message
, questo elemento valuterà automaticamente il messaggio di richiesta
quando allegato al flusso della richiesta e il messaggio di risposta quando allegato alla risposta
flusso di lavoro.
<Source>request</Source>
Predefinita: | richiesta |
Presenza: | Facoltativo |
Tipo: |
Stringa. Seleziona tra |
<StructuralLimits> elemento
Specifica i limiti strutturali che devono essere controllati e applicati dal criterio.
<StructureLimits> <NodeDepth>5</NodeDepth> <AttributeCountPerElement>2</AttributeCountPerElement> <NamespaceCountPerElement>3</NamespaceCountPerElement> <ChildCount includeComment="true" includeElement="true" includeProcessingInstruction="true" includeText="true">3</ChildCount> </StructureLimits>
Predefinita: | N/D |
Presenza: | Facoltativo |
Tipo: | N/D |
<StructuralLimits>/<NodeDepth> elemento
Specifica la profondità massima dei nodi consentita nel file XML.
<StructureLimits> <NodeDepth>5</NodeDepth> <AttributeCountPerElement>2</AttributeCountPerElement> <NamespaceCountPerElement>3</NamespaceCountPerElement> <ChildCount includeComment="true" includeElement="true" includeProcessingInstruction="true" includeText="true">3</ChildCount> </StructureLimits>
Predefinita: | Se non specifichi un limite, il sistema applica un valore predefinito di -1 .
che il sistema equivale a nessun limite. |
Presenza: | Facoltativo |
Tipo: |
Numero intero |
<StructuralLimits>/<AttributeCountPerElement> elemento
Specifica il numero massimo di attributi consentiti per ogni elemento.
Considera ad esempio il seguente XML:
<book category="WEB"> <title>Learning XML</title> <author>Erik T. Ray</author> <year>2003</year> </book>Quando analizzi il codice XML riportato sopra, il valore dell'elemento
<AttributeCountPerElement>
nello snippet delle norme riportato di seguito verificherà che gli elementi book
, title
,
author
e year
non hanno più di 2
attributi ciascuno.
Tieni presente che gli attributi utilizzati per definire gli spazi dei nomi non vengono conteggiati.
<StructureLimits> <NodeDepth>5</NodeDepth> <AttributeCountPerElement>2</AttributeCountPerElement> <NamespaceCountPerElement>3</NamespaceCountPerElement> <ChildCount includeComment="true" includeElement="true" includeProcessingInstruction="true" includeText="true">3</ChildCount> </StructureLimits>
Predefinita: | Se non specifichi un limite, il sistema applica un valore predefinito di -1 .
che il sistema equivale a nessun limite. |
Presenza: | Facoltativo |
Tipo: |
Numero intero |
<StructuralLimits>/<NameSpaceCountPerElement> elemento
Specifica il numero massimo di definizioni dello spazio dei nomi consentite per qualsiasi elemento.
Considera ad esempio il seguente XML:
<e1 attr1="val1" attr2="val2"> <e2 xmlns="http://apigee.com" xmlns:yahoo="http://yahoo.com" one="1" yahoo:two="2"/> </e1>
Quando analizzi il codice XML riportato sopra, il valore dell'elemento <NamespaceCountPerElement>
nello snippet delle norme riportato di seguito verificherà che gli elementi e1
e e2
non hanno più di 2
definizioni dello spazio dei nomi ciascuna. In questo caso, <e1> ha 0 definizioni dello spazio dei nomi e
<e2> ha 2 spazi dei nomi
definizioni: xmlns="http://apigee.com"
e
xmlns:yahoo="http://yahoo.com"
.
<StructureLimits> <NodeDepth>5</NodeDepth> <AttributeCountPerElement>2</AttributeCountPerElement> <NamespaceCountPerElement>3</NamespaceCountPerElement> <ChildCount includeComment="true" includeElement="true" includeProcessingInstruction="true" includeText="true">3</ChildCount> </StructureLimits>
Predefinita: | Se non specifichi un limite, il sistema applica un valore predefinito di -1 .
che il sistema equivale a nessun limite. |
Presenza: | Facoltativo |
Tipo: |
Numero intero |
<StructuralLimits>/<ChildCount> elemento
Specifica il numero massimo di elementi secondari consentito per qualsiasi elemento.
<StructureLimits> <NodeDepth>5</NodeDepth> <AttributeCountPerElement>2</AttributeCountPerElement> <NamespaceCountPerElement>3</NamespaceCountPerElement> <ChildCount includeComment="true" includeElement="true" includeProcessingInstruction="true" includeText="true">3</ChildCount> </StructureLimits>
Predefinita: | Se non specifichi un limite, il sistema applica un valore predefinito di -1 .
che il sistema equivale a nessun limite. |
Presenza: | Facoltativo |
Tipo: |
Numero intero |
Attributi
Attributo | Predefinito | Presenza |
---|---|---|
includeComment | true | Facoltativo |
includeElement | true | Facoltativo |
includeProcessingInstructions | true | Facoltativo |
includeText | true | Facoltativo |
<ValueLimits> elemento
Specifica i limiti di caratteri per i valori che devono essere controllati e applicati dal criterio.
<ValueLimits> <Text>15</Text> <Attribute>10</Attribute> <NamespaceURI>10</NamespaceURI> <Comment>10</Comment> <ProcessingInstructionData>10</ProcessingInstructionData> </ValueLimits>
Predefinita: | N/D |
Presenza: | Facoltativo |
Tipo: |
N/D |
<ValueLimits>/<Text> elemento
Specifica un limite di caratteri per i nodi di testo presenti nel documento XML.
Considera ad esempio il seguente XML:
<book category="WEB"> <title>Learning XML</title> <author>Erik T. Ray</author> <year>2003</year> </book>Quando analizzi il codice XML riportato sopra, il valore dell'elemento
<Text>
nel criterio
Lo snippet seguente verificherà che i valori di testo dell'elemento Learning XML
, Erik T.
Ray,
e 2003
non superino 15
caratteri ciascuno.
<ValueLimits> <Text>15</Text> <Attribute>10</Attribute> <NamespaceURI>10</NamespaceURI> <Comment>10</Comment> <ProcessingInstructionData>10</ProcessingInstructionData> </ValueLimits>
Predefinita: | Se non specifichi un limite, il sistema applica un valore predefinito di -1 .
che il sistema equivale a nessun limite. |
Presenza: | Facoltativo |
Tipo: |
Numero intero |
<ValueLimits>/<Attribute> elemento
Specifica un limite di caratteri per i valori degli attributi presenti nel documento XML.
Considera ad esempio il seguente XML:
<book category="WEB"> <title>Learning XML</title> <author>Erik T. Ray</author> <year>2003</year> </book>Quando analizzi il codice XML riportato sopra, il valore dell'elemento
<Attribute>
nel criterio
lo snippet seguente verificherà che il valore dell'attributo WEB
non superi
10
caratteri.
<ValueLimits> <Text>15</Text> <Attribute>10</Attribute> <NamespaceURI>10</NamespaceURI> <Comment>10</Comment> <ProcessingInstructionData>10</ProcessingInstructionData> </ValueLimits>
Predefinita: | Se non specifichi un limite, il sistema applica un valore predefinito di -1 .
che il sistema equivale a nessun limite. |
Presenza: | Facoltativo |
Tipo: |
Numero intero |
<ValueLimits>/<NamespaceURI> elemento
Specifica un limite di caratteri per eventuali URI dello spazio dei nomi presenti nel documento XML.
Considera ad esempio il seguente XML:
<ns1:myelem xmlns:ns1="http://ns1.com"/>Quando analizzi il codice XML riportato sopra, il valore dell'elemento
<NamespaceURI>
nel
lo snippet del criterio riportato di seguito convaliderà il valore dell'URI dello spazio dei nomi http://ns1.com
non più di 10
caratteri.
<ValueLimits> <Text>15</Text> <Attribute>10</Attribute> <NamespaceURI>10</NamespaceURI> <Comment>10</Comment> <ProcessingInstructionData>10</ProcessingInstructionData> </ValueLimits>
Predefinita: | Se non specifichi un limite, il sistema applica un valore predefinito di -1 .
che il sistema equivale a nessun limite. |
Presenza: | Facoltativo |
Tipo: |
Numero intero |
<ValueLimits>/<Comment> elemento
Specifica un limite di caratteri per i commenti presenti nel documento XML.
Considera ad esempio il seguente XML:
<book category="WEB"> <!-- This is a comment --> <title>Learning XML</title> <author>Erik T. Ray</author> <year>2003</year> </book>Quando analizzi il codice XML riportato sopra, il valore dell'elemento
<Comment>
nel criterio
lo snippet seguente verificherà che il testo del commento This is a comment
non superi
10
caratteri.
<ValueLimits> <Text>15</Text> <Attribute>10</Attribute> <NamespaceURI>10</NamespaceURI> <Comment>10</Comment> <ProcessingInstructionData>10</ProcessingInstructionData> </ValueLimits>
Predefinita: | Se non specifichi un limite, il sistema applica un valore predefinito di -1 .
che il sistema equivale a nessun limite. |
Presenza: | Facoltativo |
Tipo: |
Numero intero |
<ValueLimits>/<ProcessingInstructionData> elemento
Specifica un limite di caratteri per il testo dell'istruzione di elaborazione presente nel file XML documento.
Considera ad esempio il seguente XML:
<?xml-stylesheet type="text/xsl" href="style.xsl"?>Quando analizzi il codice XML riportato sopra, l'elemento
<ProcessingInstructionData>
nello snippet delle norme riportato di seguito confermerà che il testo dell'istruzione per l'elaborazione
type="text/xsl" href="style.xsl"
non supera 10
caratteri.
<ValueLimits> <Text>15</Text> <Attribute>10</Attribute> <NamespaceURI>10</NamespaceURI> <Comment>10</Comment> <ProcessingInstructionData>10</ProcessingInstructionData> </ValueLimits>
Predefinita: | Se non specifichi un limite, il sistema applica un valore predefinito di -1 .
che il sistema equivale a nessun limite. |
Presenza: | Facoltativo |
Tipo: |
Numero intero |
Messaggi di errore
Questa sezione descrive i codici e i messaggi di errore che vengono restituiti e le variabili di errore impostate da Apigee quando questo criterio attiva un errore. Queste informazioni sono importanti per sapere se si stanno sviluppando regole di errore per gestire gli errori. Per scoprire di più, consulta gli articoli Cosa devi sapere sugli errori relativi alle norme e Gestione degli errori.
Errori di runtime
Questi errori possono verificarsi quando il criterio viene eseguito.
Codice di errore | Stato HTTP | Causa | Correggi |
---|---|---|---|
steps.xmlthreatprotection.ExecutionFailed |
500 |
Il criterio XMLThreatProtection può generare molti tipi diversi di errori ExecutionFailed .
La maggior parte di questi errori si verifica quando viene superata una soglia specifica impostata nel criterio. Questi
tipi di errore includono:
lunghezza del nome dell'elemento,
conteggio figlio,
profondità del nodo,
conteggio attributi,
lunghezza del nome dell'attributo
e molti altri. Puoi visualizzare l'elenco completo nell'argomento Risoluzione degli errori di runtime dei criteri XMLThreatProtection.
|
build |
steps.xmlthreatprotection.InvalidXMLPayload |
500 |
Questo errore si verifica se il payload dei messaggi di input specificato dall'elemento <Source> del criterio XMLThreatProtection non è un documento XML valido.
|
build |
steps.xmlthreatprotection.SourceUnavailable |
500 |
Questo errore si verifica se la variabile message
specificata nell'elemento <Source> è:
|
build |
steps.xmlthreatprotection.NonMessageVariable |
500 |
Questo errore si verifica se l'elemento <Source> è impostato su una variabile non di tipo message.
|
build |
Errori di deployment
Nessuno.
Variabili di errore
Queste variabili vengono impostate quando si verifica un errore di runtime. Per maggiori informazioni, consulta la sezione Cosa devi sapere sugli errori relativi ai criteri.
Variabili | Dove | Esempio |
---|---|---|
fault.name="fault_name" |
fault_name è il nome dell'errore, come indicato nella tabella Errori di runtime riportata sopra. Il nome del guasto è l'ultima parte del codice di errore. | fault.name Matches "SourceUnavailable" |
xmlattack.policy_name.failed |
policy_name è il nome specificato dall'utente del criterio che ha generato l'errore. | xmlattack.XPT-SecureRequest.failed = true |
Esempio di risposta di errore
{ "fault": { "faultstring": "XMLThreatProtection[XPT-SecureRequest]: Execution failed. reason: XMLThreatProtection[XTP-SecureRequest]: Exceeded object entry name length at line 2", "detail": { "errorcode": "steps.xmlthreatprotection.ExecutionFailed" } } }
Esempio di regola di errore
<FaultRule name="XML Threat Protection Policy Faults"> <Step> <Name>AM-CustomErrorResponse</Name> <Condition>(fault.name Matches "ExecutionFailed") </Condition> </Step> <Condition>(xmlattack.XPT-SecureRequest.failed = true) </Condition> </FaultRule>
Schemi
Note sull'utilizzo
Qualsiasi server che riceve dati online è soggetto ad attacchi, dannosi o non intenzionali. Alcuni attacchi sfruttano la flessibilità del linguaggio XML costruendo documenti non validi che il potenziale di compromettere i sistemi di backend. I documenti XML danneggiati o estremamente complessi possono fa sì che i server allocano più memoria di quella disponibile, associando le risorse di CPU e memoria, che causano l'arresto anomalo dei parser e, in genere, la disattivazione dell'elaborazione dei messaggi e la creazione a livello di applicazione attacchi DoS.
Configurazione degli errori di protezione dalle minacce
Informazioni importanti se crei FaultRules per questo criterio: tramite
per impostazione predefinita, Apigee genera un codice di stato di errore interno del server HTTP 500 e un errore ExecutionFailed
se un messaggio non supera un criterio di protezione dalle minacce JSON o XML. Puoi modificare
per modificare il comportamento
di errore con una nuova proprietà a livello di organizzazione. Quando imposti l'organizzazione
features.isPolicyHttpStatusEnabled
su true, come segue
che si verifica:
- Richiesta: con un criterio di protezione dalle minacce collegato a qualsiasi flusso di richieste, i messaggi non validi Restituire un codice di stato Richiesta non valida 400, insieme a un errore di violazione delle norme corrispondente (anziché solo ExecutionFailed).
- Risposta: con un criterio di protezione dalle minacce collegato a qualsiasi flusso di risposta, i messaggi non validi restituiscono comunque un codice di stato Errore interno del server 500 e uno dei vengono generati i codici di errore del criterio corrispondenti (anziché solo ExecutionFailed).
I clienti Google Cloud devono contattare l'assistenza clienti Google Cloud per impostare proprietà dell'organizzazione.
curl -u email:password -X POST -H "Content-type:application/xml" http://host:8080/v1/o/myorg -d \ "<Organization type="trial" name="MyOrganization"> <Environments/> <Properties> <Property name="features.isPolicyHttpStatusEnabled">true</Property> ... </Properties> </Organization>"
Argomenti correlati
Minaccia JSON Norme sulla protezione
Normale Norme di Protezione espressioni