JSONThreatProtection-Richtlinie

Diese Seite gilt für Apigee und Apigee Hybrid.

Apigee Edge-Dokumentation aufrufen

APIs, die JSON-Nutzlasten akzeptieren, sind anfällig für böswillige Angriffe, die darauf abzielen, den JSON-Parser zu überlasten. Diese Angriffe können Nutzlasten mit übermäßig vielen Array-Elementen, tief verschachtelten Strukturen oder unglaublich langen Strings enthalten, die den Dienst zum Absturz bringen oder übermäßig viel Arbeitsspeicher verbrauchen können.

Die JSONThreatProtection-Richtlinie minimiert dieses Risiko, indem eingehende Anfragen auf Nutzlasten geprüft werden, die gegen die definierten Grenzwerte für Strukturen wie Arrays und Strings verstoßen. So werden Ihre Back-End-Dienste effektiv vor diesen Denial-of-Service- oder Parser-Angriffen geschützt.

Hinweis:Diese Richtlinie wird nur ausgeführt, wenn Content-Type des Anfrage- oder Antwortheaders auf application/json. gesetzt ist.

Diese Richtlinie ist eine erweiterbare Richtlinie, deren Verwendung je nach Apigee-Lizenz Auswirkungen auf die Kosten oder die Nutzung haben kann. Informationen zu Richtlinientypen und Auswirkungen auf die Nutzung finden Sie unter Richtlinientypen.

Elementverweis

Die Elementreferenz beschreibt die Elemente und Attribute der "JSONThreatProtection"-Richtlinie.

<JSONThreatProtection async="false" continueOnError="false" enabled="true" name="JSON-Threat-Protection-1">
   <DisplayName>JSONThreatProtection 1</DisplayName>
   <ArrayElementCount>20</ArrayElementCount>
   <ContainerDepth>10</ContainerDepth>
   <ObjectEntryCount>15</ObjectEntryCount>
   <ObjectEntryNameLength>50</ObjectEntryNameLength>
   <Source>request</Source>
   <StringValueLength>500</StringValueLength>
</JSONThreatProtection>

<JSONThreatProtection>-Attribute

<JSONThreatProtection async="false" continueOnError="false" enabled="true" name="JSON-Threat-Protection-1">

In der folgenden Tabelle werden Attribute beschrieben, die für alle übergeordneten Richtlinienelemente gelten:

Attribut	Beschreibung	Standard	Presence
`name`	Der interne Name der Richtlinie. Der Wert des Attributs `name` kann Buchstaben, Ziffern, Leerzeichen, Bindestriche, Unterstriche und Punkte enthalten. Dieser Wert darf 255 Zeichen nicht überschreiten. Optional können Sie das Element `<DisplayName>` verwenden, um die Richtlinie im Proxy-Editor der Verwaltungs-UI mit einem anderen Namen in einer natürlichen Sprache zu versehen.	–	Erforderlich
`continueOnError`	Legen Sie `false` fest, um einen Fehler zurückzugeben, wenn eine Richtlinie fehlschlägt. Dies ist für die meisten Richtlinien das erwartete Verhalten. Legen Sie `true` fest, damit die Ablaufausführung auch nach dem Fehlschlagen einer Richtlinie fortgesetzt wird. Siehe auch: Fehlerregeln werden NUR im Fehlerzustand ausgelöst (über continueOnError) Umgang mit Fehlern im aktuellen Ablauf	false	Optional
`enabled`	Setzen Sie den Wert auf `true`, um die Richtlinie zu erzwingen. Legen Sie `false` fest, um die Richtlinie zu deaktivieren. Die Richtlinie wird nicht erzwungen, selbst wenn sie mit einem Ablauf verknüpft ist.	true	Optional
`async`	Dieses Attribut wurde verworfen.	false	Verworfen

<DisplayName>-Element

Wird zusätzlich zum Attribut name verwendet, um die Richtlinie im Proxy-Editor der Verwaltungs-UI mit einem anderen Namen in einer natürlichen Sprache zu versehen.

<DisplayName>Policy Display Name</DisplayName>

Standard

Standard	– Wenn Sie dieses Element weglassen, wird der Wert des Namensattributs `name` der Richtlinie verwendet.
Presence	Optional
Typ	String

–

Wenn Sie dieses Element weglassen, wird der Wert des Namensattributs name der Richtlinie verwendet.

Presence Optional

Typ String

<ArrayElementCount>-Element

Gibt die maximale Anzahl der in einem Array zulässigen Elemente an.

<ArrayElementCount>20</ArrayElementCount>

Standard:	Wenn Sie dieses Element nicht angeben oder eine negative Ganzzahl angeben, erzwingt das System keine Beschränkung.
Präsenz:	Optional
Typ:	Ganzzahl

<ContainerDepth>-Element

Gibt die maximal zulässige Eingrenzungstiefe an, wobei die Container Objekte oder Arrays sind. Beispiel: Ein Array mit einem Objekt, das ein Objekt enthält, führt zu einer Eingrenzungstiefe von 3.

<ContainerDepth>10</ContainerDepth>

Standard:	Wenn Sie dieses Element nicht angeben oder eine negative Ganzzahl angeben, erzwingt das System keine Beschränkung.
Präsenz:	Optional
Typ:	Ganzzahl

<ObjectEntryCount>-Element

Gibt die maximal zulässige Anzahl von Einträgen in einem Objekt an.

<ObjectEntryCount>15</ObjectEntryCount>

Standard:	Wenn Sie dieses Element nicht angeben oder eine negative Ganzzahl angeben, erzwingt das System keine Beschränkung.
Präsenz:	Optional
Typ:	Ganzzahl

{ObjectEntryNameLength}-Element

Gibt die maximal zulässige Stringlänge für Attributnamen in Objekten an.

<ObjectEntryNameLength>50</ObjectEntryNameLength>

Standard:	Wenn Sie dieses Element nicht angeben oder eine negative Ganzzahl angeben, erzwingt das System keine Beschränkung.
Präsenz:	Optional
Typ:	Ganzzahl

<Source>-Element

Auf JSON-Nutzlastangriffe zu prüfende Nachricht. Dies ist meistens auf request gesetzt, da Sie in der Regel eingehende Anfragen von Client-Apps validieren müssen. Ist message festgelegt, bewertet dieses Element die Anfragenachricht automatisch, wenn sie an den Anfragefluss angehängt wird, und die Antwortnachricht, wenn sie an den Antwortfluss angehängt wird.

<Source>request</Source>

Standard:

Anfrage

Präsenz:

Optional

Typ:

String.

Gültige Werte: Anfrage, Antwort oder Nachricht.

<StringValueLength>-Element

Gibt die maximal zulässige Länge für einen Stringwert an.

<StringValueLength>500</StringValueLength>

Standard:	Wenn Sie dieses Element nicht angeben oder eine negative Ganzzahl angeben, erzwingt das System keine Beschränkung.
Präsenz:	Optional
Typ:	Ganzzahl

Fehlerreferenz

Hinweis: Diese Richtlinie wird nur ausgeführt, wenn Content-Type des Anfrage- oder Antwortheaders auf application/json. gesetzt ist.

This section describes the fault codes and error messages that are returned and fault variables that are set by Apigee when this policy triggers an error. This information is important to know if you are developing fault rules to handle faults. To learn more, see What you need to know about policy errors and Handling faults.

Runtime errors

These errors can occur when the policy executes.

Fault code	HTTP status	Cause
`steps.jsonthreatprotection.ExecutionFailed`	`500`	The `JSONThreatProtection` policy can throw many different types of `ExecutionFailed` errors. Most of these errors occur when a specific threshold set in the policy is exceeded. These types of errors include: object entry name length, object entry count, array element count, container depth, string string value length. This error also occurs when the payload contains an invalid JSON object.
`steps.jsonthreatprotection.SourceUnavailable`	`500`	This error occurs if the message variable specified in the `<Source>` element is either: Out of scope (not available in the specific flow where the policy is being executed) Is not one of the valid values `request`, `response`, or `message`
`steps.jsonthreatprotection.NonMessageVariable`	`500`	This error occurs if the `<Source>` element is set to a variable which is not of type message.

Deployment errors

None.

Fault variables

These variables are set when this policy triggers an error. For more information, see What you need to know about policy errors.

Variables	Where	Example
`fault.name="fault_name"`	`fault_name` is the name of the fault, as listed in the Runtime errors table above. The fault name is the last part of the fault code.	`fault.name Matches "SourceUnavailable"`
`jsonattack.policy_name.failed`	`policy_name` is the user-specified name of the policy that threw the fault.	`jsonattack.JTP-SecureRequest.failed = true`

Example error response

{
  "fault": {
    "faultstring": "JSONThreatProtection[JPT-SecureRequest]: Execution failed. reason: JSONThreatProtection[JTP-SecureRequest]: Exceeded object entry name length at line 2",
    "detail": {
      "errorcode": "steps.jsonthreatprotection.ExecutionFailed"
    }
  }
}

Example fault rule

<FaultRule name="JSONThreatProtection Policy Faults">
    <Step>
        <Name>AM-CustomErrorResponse</Name>
        <Condition>(fault.name Matches "ExecutionFailed") </Condition>
    </Step>
    <Condition>(jsonattack.JPT-SecureRequest.failed = true) </Condition>
</FaultRule>

Schemas

Verwendungshinweise

Ebenso wie XML-basierte Dienste sind APIs, die die JavaScript-Objektnotation (JSON) unterstützen, für Angriffe auf Inhaltsebene anfällig. Einfache JSON-Angriffe versuchen, Strukturen zu verwenden, die JSON-Parser überfordern, einen Dienst abstürzen zu lassen und Denial of Service-Angriffe auf Anwendungsebene auszulösen. Alle Einstellungen sind optional und müssen optimiert werden, um Ihre Dienstanforderungen im Hinblick auf potenzielle Sicherheitslücken zu optimieren.

Weitere Informationen

JSONtoXML-Richtlinie

XMLThreatProtection-Richtlinie

RegularExpressionProtection-Richtlinie

JSONThreatProtection-Richtlinie Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

Elementverweis

<JSONThreatProtection>-Attribute

<DisplayName>-Element

<ArrayElementCount>-Element

<ContainerDepth>-Element

<ObjectEntryCount>-Element

{ObjectEntryNameLength}-Element

<Source>-Element

<StringValueLength>-Element

Fehlerreferenz

Runtime errors

Deployment errors

Fault variables

Example error response

Example fault rule

Schemas

Verwendungshinweise

Weitere Informationen

JSONThreatProtection-Richtlinie