Utiliser l'API Submission

Ce document explique comment envoyer des URL que vous pensez ne pas être sécurisées à l'équipe chargée de la navigation sécurisée pour qu'elle les analyse, et de vérifier de manière asynchrone les résultats de ces envois. Toutes les URL confirmées comme ne respectant pas les règles de navigation sécurisée sont ajoutées au service de navigation sécurisée.

Avant de commencer

Contactez le service commercial ou votre ingénieur client pour accéder à cette fonctionnalité.

Bonnes pratiques

Consultez le Règlement de la navigation sécurisée.

L'API Submission Web Risk vérifie que les URL envoyées affichent un contenu qui enfreint les policies de navigation sécurisée. Les développeurs d'API doivent s'assurer que les URL envoyées présentent des preuves claires de non-respect de ces règles. Les exemples suivants montrent des cas de non-respect des règles:

  • Contenus d'ingénierie sociale imitant une marque en ligne légitime (nom, logo, apparence), des alertes système, utilisant des URL trompeuses ou demandant aux utilisateurs de saisir des identifiants sensibles tels qu'un nom d'utilisateur ou un mot de passe
  • Site hébergeant un logiciel malveillant exécutable connu

Les développeurs d'API ne doivent pas envoyer ces types d'URL, car elles ne seront probablement pas ajoutées aux listes de blocage de la navigation sécurisée:

  • Fausses enquêtes, faux sites d'achat ou autres escroqueries qui ne relèvent pas de l'hameçonnage (par exemple, les escroqueries liées aux cryptomonnaies)
  • Spam contenant des jeux d'argent et de hasard, de la violence ou du contenu réservé aux adultes, qui ne sont pas du hameçonnage ni des logiciels malveillants

Envoyer des URL

Pour soumettre une URL, envoyez une requête HTTP POST à la méthode projects.uris.submit.

  • L'API Submission accepte une URL par requête. Pour vérifier plusieurs URL, vous devez envoyer une requête distincte pour chaque URL.
  • L'URL doit être valide, mais pas canonique. Pour en savoir plus, consultez la norme RFC 2396.

  • La réponse HTTP POST renvoie une opération de type long-running operation. Pour en savoir plus sur la récupération du résultat de l'envoi et la vérification de l'état d'un envoi, consultez la section Opérations de longue durée.

Exemple

Méthode HTTP et URL :

POST https://webrisk.googleapis.com/v1/projects/project-id/uris:submit

Corps JSON de la requête :

{
  "submission": {
    "uri": "https://www.example.com/login.html"
  }
}

Pour envoyer votre requête, choisissez l'une des options suivantes :

curl

Enregistrez le corps de la requête dans un fichier nommé request.json, puis exécutez la commande suivante :

curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://webrisk.googleapis.com/v1/projects/project-id/uris:submit"

PowerShell

Enregistrez le corps de la requête dans un fichier nommé request.json, puis exécutez la commande suivante :

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://webrisk.googleapis.com/v1/projects/project-id/uris:submit" | Select-Object -Expand Content

Vous devriez recevoir une réponse JSON de ce type :

{
  "name": "projects/project-number/operations/operation-id",
}

Vérifier l'état de l'envoi

Vous pouvez vérifier l'état de l'envoi à l'aide des valeurs project-number et operation-id de la réponse.

SUCCEEDED indique que l'URL envoyée a été ajoutée à la liste de blocage de la navigation sécurisée.

CLOSED indique que l'URL envoyée n'a pas été détectée comme ne respectant pas les règles de navigation sécurisée et qu'elle n'a pas été ajoutée à la liste de blocage de la navigation sécurisée au cours des dernières 24 heures.