Utiliser l'API Submission

Ce document explique comment soumettre à la navigation sécurisée des URL que vous pensez comme non sécurisées en vue de leur analyse et comment vérifier de manière asynchrone les résultats de ces envois. Toutes les URL qui ne respectent pas les Règles de navigation sécurisée sont ajoutées au service de navigation sécurisée.

Avant de commencer

Contactez le service commercial ou votre ingénieur client pour obtenir l'accès à cette fonctionnalité.

Bonnes pratiques

Consultez les Règles de la navigation sécurisée.

L'API Web Risk Submission vérifie que les URL envoyées rendent le contenu non conforme aux Règles de navigation sécurisée. Les développeurs d'API doivent s'assurer que les URL envoyées présentent clairement une violation de ces règles. Les exemples suivants mettent en évidence des cas de non-respect des règles:

  • Contenu d'ingénierie sociale qui imite une marque légitime en ligne (nom de marque, logo, présentation), envoie des alertes système, utilise des URL trompeuses ou demande aux utilisateurs de saisir des identifiants sensibles tels qu'un nom d'utilisateur ou un mot de passe.
  • Site qui héberge un fichier exécutable connu de logiciel malveillant.

Les développeurs d'API ne doivent pas envoyer les types d'URL suivants, car ils ne seront probablement pas ajoutés aux listes de blocage pour la navigation sécurisée:

  • Enquêtes factices, sites d'achat ou autres escroqueries ne correspondant pas à de l'hameçonnage (comme les escroqueries liées aux cryptomonnaies)
  • Spam comportant des jeux d'argent et de hasard, de la violence ou du contenu réservé aux adultes sans hameçonnage ni logiciel malveillant.

Envoyer des URL

Pour soumettre une URL, envoyez une requête HTTP POST à la méthode projects.uris.submit.

  • L'API Submission accepte une URL par requête. Pour vérifier plusieurs URL, vous devez envoyer une requête distincte pour chaque URL.

  • L'URL doit être valide, mais il n'est pas nécessaire qu'elle soit canonique. Pour en savoir plus, consultez la norme RFC 2396.

  • La réponse HTTP POST renvoie une opération de type long-running operation. Pour savoir comment récupérer le résultat d'un envoi et vérifier l'état d'un envoi, consultez la section Opérations de longue durée.

Exemple

Méthode HTTP et URL : 

POST https://webrisk.googleapis.com/v1/projects/project-id/uris:submit

Corps JSON de la requête : 

{
  "submission": {
    "uri": "https://www.example.com/login.html"
  }
}

Pour envoyer votre requête, choisissez l'une des options suivantes :

curl

Enregistrez le corps de la requête dans un fichier nommé request.json, puis exécutez la commande suivante: 

curl -X POST \
    -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \
    -H "Content-Type: application/json; charset=utf-8" \
    -d @request.json \
    "https://webrisk.googleapis.com/v1/projects/project-id/uris:submit"

PowerShell

Enregistrez le corps de la requête dans un fichier nommé request.json, puis exécutez la commande suivante: 

$cred = gcloud auth application-default print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://webrisk.googleapis.com/v1/projects/project-id/uris:submit" | Select-Object -Expand Content

Vous devriez recevoir une réponse JSON de ce type :

{
  "name": "projects/project-number/operations/operation-id",
}

Vérifier l'état de l'envoi

Vous pouvez vérifier l'état de l'envoi en utilisant les valeurs project-number et operation-id de la réponse.

SUCCEEDED indique que l'URL envoyée a été ajoutée à la liste de blocage de la navigation sécurisée.

CLOSED indique que l'URL envoyée n'a pas été considérée comme contraire aux règles de navigation sécurisée et qu'elle n'a pas été ajoutée à la liste de blocage de la navigation sécurisée au cours des dernières 24 heures.