Halaman ini diterjemahkan oleh Cloud Translation API.

Kebijakan XMLThreatProtection

Halaman ini berlaku untuk Apigee dan Apigee hybrid.

Lihat dokumentasi Apigee Edge.

Apa

Atasi kerentanan XML dan minimalkan serangan terhadap API Anda. Secara opsional, deteksi serangan payload XML berdasarkan batas yang dikonfigurasi. Lakukan pemindaian terhadap ancaman XML menggunakan pendekatan berikut:

Mengevaluasi konten pesan untuk kata kunci atau pola tertentu yang akan dikecualikan
Mendeteksi pesan yang rusak atau salah format sebelum pesan tersebut diuraikan

Catatan: Kebijakan ini hanya dieksekusi jika Content-Type header permintaan atau respons ditetapkan ke application/xml.

Kebijakan ini adalah Kebijakan yang dapat diperluas dan penggunaan kebijakan ini mungkin memiliki implikasi biaya atau penggunaan, bergantung pada lisensi Apigee Anda. Untuk informasi tentang jenis kebijakan dan implikasi penggunaan, lihat Jenis kebijakan.

Tonton video singkat tentang perlindungan ancaman

Video: Tonton video singkat tentang kebijakan perlindungan dari ancaman dari serial Video Empat Menit untuk Developer (4MV4D).

Referensi elemen

Referensi elemen menjelaskan elemen dan atribut kebijakan XMLThreatProtection.

<XMLThreatProtection async="false" continueOnError="false" enabled="true" name="XML-Threat-Protection-1">
   <DisplayName>XML Threat Protection 1</DisplayName>
   <NameLimits>
      <Element>10</Element>
      <Attribute>10</Attribute>
      <NamespacePrefix>10</NamespacePrefix>
      <ProcessingInstructionTarget>10</ProcessingInstructionTarget>
   </NameLimits>
   <Source>request</Source>
   <StructureLimits>
      <NodeDepth>5</NodeDepth>
      <AttributeCountPerElement>2</AttributeCountPerElement>
      <NamespaceCountPerElement>3</NamespaceCountPerElement>
      <ChildCount includeComment="true" includeElement="true" includeProcessingInstruction="true" includeText="true">3</ChildCount>
   </StructureLimits>
   <ValueLimits>
      <Text>15</Text>
      <Attribute>10</Attribute>
      <NamespaceURI>10</NamespaceURI>
      <Comment>10</Comment>
      <ProcessingInstructionData>10</ProcessingInstructionData>
   </ValueLimits> 
</XMLThreatProtection>

Atribut <XMLThreatProtection>

<XMLThreatProtection async="false" continueOnError="false" enabled="true" name="XML-Threat-Protection-1">

Tabel berikut menjelaskan atribut yang umum untuk semua elemen induk kebijakan:

Atribut	Deskripsi	Default	Kehadiran
`name`	Nama internal kebijakan. Nilai atribut `name` dapat berisi huruf, angka, spasi, tanda hubung, garis bawah, dan titik. Nilai ini tidak boleh melebihi 255 karakter. Secara opsional, gunakan elemen `<DisplayName>` untuk memberi label pada kebijakan di editor proxy UI pengelolaan dengan nama bahasa alami yang berbeda.	T/A	Wajib
`continueOnError`	Tetapkan ke `false` untuk menampilkan error saat kebijakan gagal. Perilaku ini wajar terjadi untuk sebagian besar kebijakan. Tetapkan ke `true` agar eksekusi alur berlanjut meskipun setelah kebijakan gagal. Lihat juga: Aturan error HANYA dipicu dalam status error (tentang continueOnError) Menangani error dalam alur saat ini	false	Opsional
`enabled`	Tetapkan ke `true` untuk menerapkan kebijakan. Tetapkan ke `false` untuk menonaktifkan kebijakan. Kebijakan tidak akan diterapkan meskipun tetap terlampir ke alur.	benar	Opsional
`async`	Atribut ini tidak digunakan lagi.	false	Tidak digunakan lagi

Elemen <DisplayName>

Gunakan selain atribut name untuk melabeli kebijakan di editor proxy UI pengelolaan dengan nama bahasa alami yang berbeda.

<DisplayName>Policy Display Name</DisplayName>

Default

Default	T/A Jika Anda menghapus elemen ini, nilai atribut `name` kebijakan akan digunakan.
Kehadiran	Opsional
Jenis	String

T/A

Jika Anda menghapus elemen ini, nilai atribut name kebijakan akan digunakan.

Kehadiran Opsional

Jenis String

Elemen <NameLimits>

Menentukan batas karakter yang akan diperiksa dan diterapkan oleh kebijakan.

<NameLimits>
   <Element>10</Element>
   <Attribute>10</Attribute>
   <NamespacePrefix>10</NamespacePrefix>
   <ProcessingInstructionTarget>10</ProcessingInstructionTarget>     
</NameLimits>

Default:	T/A
Kehadiran:	Opsional
Jenis:	T/A

Elemen <NameLimits>/<Element>

Menentukan batas jumlah maksimum karakter yang diizinkan dalam nama elemen apa pun dalam dokumen XML.

Misalnya, pertimbangkan XML berikut:

<book category="WEB">
   <title>Learning XML</title>
   <author>Erik T. Ray</author>
   <year>2003</year>
</book>

Saat menganalisis XML di atas, nilai elemen <Element> dalam cuplikan kebijakan di bawah akan memvalidasi nama elemen tersebut (book , title, author, dan year) tidak melebihi 10 karakter.

<NameLimits>
   <Element>10</Element>
   <Attribute>10</Attribute>
   <NamespacePrefix>10</NamespacePrefix>
   <ProcessingInstructionTarget>10</ProcessingInstructionTarget>     
</NameLimits>

Default:	Jika Anda tidak menentukan batas, sistem akan menerapkan nilai default `-1`, yang setara dengan tidak ada batas.
Kehadiran:	Opsional
Jenis:	Bilangan bulat

Elemen <NameLimits>/<Attribute>

Menentukan batas jumlah maksimum karakter yang diizinkan dalam nama atribut apa pun dalam dokumen XML.

Misalnya, pertimbangkan XML berikut:

<book category="WEB">
   <title>Learning XML</title>
   <author>Erik T. Ray</author>
   <year>2003</year>
</book>

Saat menganalisis XML di atas, nilai elemen <Attribute> dalam cuplikan kebijakan di bawah akan memvalidasi bahwa nama atribut category tidak melebihi 10 karakter.

<NameLimits>
   <Element>10</Element>
   <Attribute>10</Attribute>
   <NamespacePrefix>10</NamespacePrefix>
   <ProcessingInstructionTarget>10</ProcessingInstructionTarget>     
</NameLimits>

Default:	Jika Anda tidak menentukan batas, sistem akan menerapkan nilai default `-1`, yang setara dengan tidak ada batas.
Kehadiran:	Opsional
Jenis:	Bilangan bulat

Elemen <NameLimits>/<NamespacePrefix>

Menentukan batas jumlah maksimum karakter yang diizinkan dalam awalan namespace dalam dokumen XML.

Misalnya, pertimbangkan XML berikut:

<ns1:myelem xmlns:ns1="http://ns1.com"/>

Saat menganalisis XML di atas, nilai elemen <NamespacePrefix> dalam cuplikan kebijakan di bawah akan memvalidasi bahwa awalan namespace ns1 tidak melebihi 10 karakter.

<NameLimits>
   <Element>10</Element>
   <Attribute>10</Attribute>
   <NamespacePrefix>10</NamespacePrefix>
   <ProcessingInstructionTarget>10</ProcessingInstructionTarget>     
</NameLimits>

Default:	Jika Anda tidak menentukan batas, sistem akan menerapkan nilai default `-1`, yang setara dengan tidak ada batas.
Kehadiran:	Opsional
Jenis:	Bilangan bulat

Elemen <NameLimits>/<ProcessingInstructionTarget>

Menentukan batas jumlah maksimum karakter yang diizinkan dalam target petunjuk pemrosesan dalam dokumen XML.

Misalnya, pertimbangkan XML berikut:

<?xml-stylesheet type="text/xsl" href="style.xsl"?>

Saat menganalisis XML di atas, nilai elemen <ProcessingInstructionTarget> dalam cuplikan kebijakan di bawah akan memvalidasi bahwa target instruksi pemrosesan xml-stylesheet tidak melebihi 10 karakter.

<NameLimits>
   <Element>10</Element>
   <Attribute>10</Attribute>
   <NamespacePrefix>10</NamespacePrefix>
   <ProcessingInstructionTarget>10</ProcessingInstructionTarget>     
</NameLimits>

Default:	Jika Anda tidak menentukan batas, sistem akan menerapkan nilai default `-1`, yang setara dengan tidak ada batas.
Kehadiran:	Opsional
Jenis:	Bilangan bulat

Elemen <Source>

Pesan yang akan diperiksa untuk serangan payload XML. Nilai ini biasanya ditetapkan ke request, karena Anda biasanya perlu memvalidasi permintaan masuk dari aplikasi klien. Jika ditetapkan ke message, elemen ini akan otomatis mengevaluasi pesan permintaan saat dilampirkan ke alur permintaan dan pesan respons saat dilampirkan ke alur respons.

<Source>request</Source>

Default: permintaan

Kehadiran: Opsional

Jenis:

String.

Pilih dari request, response, atau message.

Elemen <StructuralLimits>

Menentukan batas struktural yang akan diperiksa dan diterapkan oleh kebijakan.

<StructureLimits>
   <NodeDepth>5</NodeDepth>
   <AttributeCountPerElement>2</AttributeCountPerElement>
   <NamespaceCountPerElement>3</NamespaceCountPerElement>
   <ChildCount includeComment="true" includeElement="true" includeProcessingInstruction="true" includeText="true">3</ChildCount>
</StructureLimits>

Default:	T/A
Kehadiran:	Opsional
Jenis:	T/A

Elemen <StructuralLimits>/<NodeDepth>

Menentukan kedalaman node maksimum yang diizinkan dalam XML.

<StructureLimits>
   <NodeDepth>5</NodeDepth>
   <AttributeCountPerElement>2</AttributeCountPerElement>
   <NamespaceCountPerElement>3</NamespaceCountPerElement>
   <ChildCount includeComment="true" includeElement="true" includeProcessingInstruction="true" includeText="true">3</ChildCount>
</StructureLimits>

Default:	Jika Anda tidak menentukan batas, sistem akan menerapkan nilai default `-1`, yang setara dengan tidak ada batas.
Kehadiran:	Opsional
Jenis:	Bilangan bulat

Elemen <StructuralLimits>/<AttributeCountPerElement>

Menentukan jumlah maksimum atribut yang diizinkan untuk elemen apa pun.

Misalnya, pertimbangkan XML berikut:

<book category="WEB">
   <title>Learning XML</title>
   <author>Erik T. Ray</author>
   <year>2003</year>
</book>

Saat menganalisis XML di atas, nilai elemen <AttributeCountPerElement> dalam cuplikan kebijakan di bawah akan memvalidasi bahwa elemen book, title, author, dan year tidak memiliki lebih dari 2 atribut. Perhatikan bahwa atribut yang digunakan untuk menentukan namespace tidak dihitung.

<StructureLimits>
   <NodeDepth>5</NodeDepth>
   <AttributeCountPerElement>2</AttributeCountPerElement>
   <NamespaceCountPerElement>3</NamespaceCountPerElement>
   <ChildCount includeComment="true" includeElement="true" includeProcessingInstruction="true" includeText="true">3</ChildCount>
</StructureLimits>

Default:	Jika Anda tidak menentukan batas, sistem akan menerapkan nilai default `-1`, yang setara dengan tidak ada batas.
Kehadiran:	Opsional
Jenis:	Bilangan bulat

Elemen <StructuralLimits>/<NameSpaceCountPerElement>

Menentukan jumlah maksimum definisi namespace yang diizinkan untuk elemen apa pun.

Misalnya, pertimbangkan XML berikut:

<e1 attr1="val1" attr2="val2">
    <e2 xmlns="http://apigee.com" xmlns:yahoo="http://yahoo.com" one="1" yahoo:two="2"/>
</e1>

Saat menganalisis XML di atas, nilai elemen <NamespaceCountPerElement> dalam cuplikan kebijakan di bawah akan memvalidasi bahwa elemen e1 dan e2 tidak memiliki lebih dari satu definisi namespace 2. Dalam hal ini, <e1> memiliki 0 definisi namespace dan <e2> memiliki 2 definisi namespace: xmlns="http://apigee.com" dan xmlns:yahoo="http://yahoo.com".

<StructureLimits>
   <NodeDepth>5</NodeDepth>
   <AttributeCountPerElement>2</AttributeCountPerElement>
   <NamespaceCountPerElement>3</NamespaceCountPerElement>
   <ChildCount includeComment="true" includeElement="true" includeProcessingInstruction="true" includeText="true">3</ChildCount>
</StructureLimits>

Default:	Jika Anda tidak menentukan batas, sistem akan menerapkan nilai default `-1`, yang setara dengan tidak ada batas.
Kehadiran:	Opsional
Jenis:	Bilangan bulat

Elemen <StructuralLimits>/<ChildCount>

Menentukan jumlah maksimum elemen turunan yang diizinkan untuk elemen apa pun.

<StructureLimits>
   <NodeDepth>5</NodeDepth>
   <AttributeCountPerElement>2</AttributeCountPerElement>
   <NamespaceCountPerElement>3</NamespaceCountPerElement>
   <ChildCount includeComment="true" includeElement="true" includeProcessingInstruction="true" includeText="true">3</ChildCount>
</StructureLimits>

Default:	Jika Anda tidak menentukan batas, sistem akan menerapkan nilai default `-1`, yang setara dengan tidak ada batas.
Kehadiran:	Opsional
Jenis:	Bilangan bulat

Atribut

Atribut	Default	Kehadiran
includeComment	benar	Opsional
includeElement	benar	Opsional
includeProcessingInstructions	benar	Opsional
includeText	benar	Opsional

Elemen <ValueLimits>

Menentukan batas karakter untuk nilai yang akan diperiksa dan diterapkan oleh kebijakan.

<ValueLimits>
   <Text>15</Text>
   <Attribute>10</Attribute>
   <NamespaceURI>10</NamespaceURI>
   <Comment>10</Comment>
   <ProcessingInstructionData>10</ProcessingInstructionData>
</ValueLimits>

Default:	T/A
Kehadiran:	Opsional
Jenis:	T/A

Elemen <ValueLimits>/<Text>

Menentukan batas karakter untuk setiap node teks yang ada dalam dokumen XML.

Misalnya, pertimbangkan XML berikut:

<book category="WEB">
   <title>Learning XML</title>
   <author>Erik T. Ray</author>
   <year>2003</year>
</book>

Saat menganalisis XML di atas, nilai elemen <Text> dalam cuplikan kebijakan di bawah akan memvalidasi bahwa nilai teks elemen Learning XML,

Erik T.
Ray,

, dan 2003 tidak melebihi 15 karakter.

<ValueLimits>
   <Text>15</Text>
   <Attribute>10</Attribute>
   <NamespaceURI>10</NamespaceURI>
   <Comment>10</Comment>
   <ProcessingInstructionData>10</ProcessingInstructionData>
</ValueLimits>

Default:	Jika Anda tidak menentukan batas, sistem akan menerapkan nilai default `-1`, yang setara dengan tidak ada batas.
Kehadiran:	Opsional
Jenis:	Bilangan bulat

Elemen <ValueLimits>/<Attribute>

Menentukan batas karakter untuk nilai atribut apa pun yang ada dalam dokumen XML.

Misalnya, pertimbangkan XML berikut:

<book category="WEB">
   <title>Learning XML</title>
   <author>Erik T. Ray</author>
   <year>2003</year>
</book>

Saat menganalisis XML di atas, nilai elemen <Attribute> dalam cuplikan kebijakan di bawah akan memvalidasi bahwa nilai atribut WEB tidak melebihi 10 karakter.

<ValueLimits>
   <Text>15</Text>
   <Attribute>10</Attribute>
   <NamespaceURI>10</NamespaceURI>
   <Comment>10</Comment>
   <ProcessingInstructionData>10</ProcessingInstructionData>
</ValueLimits>

Default:	Jika Anda tidak menentukan batas, sistem akan menerapkan nilai default `-1`, yang setara dengan tidak ada batas.
Kehadiran:	Opsional
Jenis:	Bilangan bulat

Elemen <ValueLimits>/<NamespaceURI>

Menentukan batas karakter untuk URI namespace apa pun yang ada dalam dokumen XML.

Misalnya, pertimbangkan XML berikut:

<ns1:myelem xmlns:ns1="http://ns1.com"/>

Saat menganalisis XML di atas, nilai elemen <NamespaceURI> dalam cuplikan kebijakan di bawah akan memvalidasi bahwa nilai URI namespace http://ns1.com tidak melebihi 10 karakter.

<ValueLimits>
   <Text>15</Text>
   <Attribute>10</Attribute>
   <NamespaceURI>10</NamespaceURI>
   <Comment>10</Comment>
   <ProcessingInstructionData>10</ProcessingInstructionData>
</ValueLimits>

Default:	Jika Anda tidak menentukan batas, sistem akan menerapkan nilai default `-1`, yang setara dengan tidak ada batas.
Kehadiran:	Opsional
Jenis:	Bilangan bulat

Elemen <ValueLimits>/<Comment>

Menentukan batas karakter untuk komentar apa pun yang ada dalam dokumen XML.

Misalnya, pertimbangkan XML berikut:

<book category="WEB">
   <!-- This is a comment -->
   <title>Learning XML</title>
   <author>Erik T. Ray</author>
   <year>2003</year>
</book>

Saat menganalisis XML di atas, nilai elemen <Comment> dalam cuplikan kebijakan di bawah akan memvalidasi bahwa teks komentar This is a comment tidak melebihi 10 karakter.

<ValueLimits>
   <Text>15</Text>
   <Attribute>10</Attribute>
   <NamespaceURI>10</NamespaceURI>
   <Comment>10</Comment>
   <ProcessingInstructionData>10</ProcessingInstructionData>
</ValueLimits>

Default:	Jika Anda tidak menentukan batas, sistem akan menerapkan nilai default `-1`, yang setara dengan tidak ada batas.
Kehadiran:	Opsional
Jenis:	Bilangan bulat

Elemen <ValueLimits>/<ProcessingInstructionData>

Menentukan batas karakter untuk teks petunjuk pemrosesan yang ada dalam dokumen XML.

Misalnya, pertimbangkan XML berikut:

<?xml-stylesheet type="text/xsl" href="style.xsl"?>

Saat menganalisis XML di atas, nilai elemen <ProcessingInstructionData> dalam cuplikan kebijakan di bawah akan memvalidasi bahwa teks petunjuk pemrosesan type="text/xsl" href="style.xsl" tidak melebihi 10 karakter.

<ValueLimits>
   <Text>15</Text>
   <Attribute>10</Attribute>
   <NamespaceURI>10</NamespaceURI>
   <Comment>10</Comment>
   <ProcessingInstructionData>10</ProcessingInstructionData>
</ValueLimits>

Default:	Jika Anda tidak menentukan batas, sistem akan menerapkan nilai default `-1`, yang setara dengan tidak ada batas.
Kehadiran:	Opsional
Jenis:	Bilangan bulat

Referensi error

Catatan: Kebijakan ini hanya dieksekusi jika Content-Type header permintaan atau respons ditetapkan ke application/xml.

Bagian ini menjelaskan kode error dan pesan error yang ditampilkan serta variabel error yang ditetapkan oleh Apigee saat kebijakan ini memicu error. Informasi ini penting untuk diketahui jika Anda mengembangkan aturan error untuk menangani error. Untuk mempelajari lebih lanjut, lihat Yang perlu Anda ketahui tentang error kebijakan dan Menangani error.

Error runtime

Error ini dapat terjadi saat kebijakan dieksekusi.

Kode kerusakan	Status HTTP	Penyebab
`steps.xmlthreatprotection.ExecutionFailed`	`500`	Kebijakan `XMLThreatProtection` dapat menampilkan berbagai jenis error `ExecutionFailed`. Sebagian besar error ini terjadi saat batas tertentu yang ditetapkan dalam kebijakan terlampaui. Jenis error ini mencakup: panjang nama elemen, jumlah turunan, kedalaman node, jumlah atribut, panjang nama atribut, dan banyak lagi. Anda dapat melihat daftar lengkapnya di topik pemecahan masalah error runtime kebijakan XMLThreatProtection.
`steps.xmlthreatprotection.InvalidXMLPayload`	`500`	Error ini terjadi jika payload pesan input yang ditentukan oleh elemen `<Source>` kebijakan `XMLThreatProtection` bukan Dokumen XML yang valid.
`steps.xmlthreatprotection.SourceUnavailable`	`500`	Error ini terjadi jika variabel message yang ditentukan dalam elemen `<Source>` adalah: Di luar cakupan (tidak tersedia dalam alur tertentu tempat kebijakan dijalankan) Bukan salah satu nilai yang valid `request`, `response`, atau `message`
`steps.xmlthreatprotection.NonMessageVariable`	`500`	Error ini terjadi jika elemen `<Source>` ditetapkan ke variabel yang bukan dari jenis message.

Error saat deployment

Tidak ada.

Variabel error

Variabel ini ditetapkan saat error runtime terjadi. Untuk mengetahui informasi selengkapnya, lihat Yang perlu Anda ketahui tentang error kebijakan.

Variabel	Dari mana	Contoh
`fault.name="fault_name"`	`fault_name` adalah nama error, seperti yang tercantum dalam tabel Runtime errors di atas. Nama error adalah bagian terakhir dari kode error.	`fault.name Matches "SourceUnavailable"`
`xmlattack.policy_name.failed`	`policy_name` adalah nama kebijakan yang ditentukan pengguna yang menampilkan error.	`xmlattack.XPT-SecureRequest.failed = true`

Contoh respons error

Catatan: Untuk penanganan error, praktik terbaiknya adalah menangkap bagian errorcode dari respons error. Jangan mengandalkan teks di faultstring, karena teks tersebut dapat berubah.

{
  "fault": {
    "faultstring": "XMLThreatProtection[XPT-SecureRequest]: Execution failed. reason: XMLThreatProtection[XTP-SecureRequest]: Exceeded object entry name length at line 2",
    "detail": {
      "errorcode": "steps.xmlthreatprotection.ExecutionFailed"
    }
  }
}

Contoh aturan error

<FaultRule name="XML Threat Protection Policy Faults">
    <Step>
        <Name>AM-CustomErrorResponse</Name>
        <Condition>(fault.name Matches "ExecutionFailed") </Condition>
    </Step>
    <Condition>(xmlattack.XPT-SecureRequest.failed = true) </Condition>
</FaultRule>

Skema

Catatan penggunaan

Setiap server yang menerima data online dapat mengalami serangan, baik yang berbahaya maupun yang tidak disengaja. Beberapa serangan memanfaatkan fleksibilitas XML dengan membuat dokumen tidak valid yang berpotensi membahayakan sistem backend. Dokumen XML yang rusak atau sangat kompleks dapat menyebabkan server mengalokasikan lebih banyak memori daripada yang tersedia, mengikat resource CPU dan memori, membuat parser error, dan umumnya menonaktifkan pemrosesan pesan serta membuat serangan denial-of-service tingkat aplikasi.

Konfigurasi error perlindungan terhadap ancaman

Informasi penting jika Anda membuat FaultRules untuk kebijakan ini: Secara default, Apigee menampilkan kode status HTTP 500 Internal Server Error dan kode error ExecutionFailed jika pesan tidak berhasil melewati kebijakan Perlindungan Ancaman JSON atau XML. Anda dapat mengubah perilaku error tersebut dengan properti tingkat organisasi baru. Saat menetapkan properti organisasi features.isPolicyHttpStatusEnabled ke benar, perilaku berikut akan terjadi:

Permintaan: Dengan kebijakan perlindungan ancaman yang dilampirkan ke alur permintaan apa pun, pesan yang tidak valid akan menampilkan kode status Permintaan Tidak Valid 400, beserta kode error kebijakan yang sesuai (bukan hanya ExecutionFailed).
Respons: Dengan kebijakan perlindungan ancaman yang dilampirkan ke alur respons, pesan yang tidak valid masih menampilkan kode status Error Server Internal 500, dan salah satu kode error kebijakan yang sesuai akan ditampilkan (bukan hanya ExecutionFailed).

Pelanggan Cloud harus menghubungi Layanan Pelanggan Google Cloud untuk menetapkan properti organisasi.

curl -u email:password -X POST -H "Content-type:application/xml" http://host:8080/v1/o/myorg -d \
"<Organization type="trial" name="MyOrganization">
    <Environments/>
    <Properties>
        <Property name="features.isPolicyHttpStatusEnabled">true</Property>
        ...
    </Properties>
</Organization>"

Topik terkait

Kebijakan Perlindungan Ancaman JSON

Kebijakan Perlindungan Ekspresi Reguler