Esta página aplica-se ao Apigee e ao Apigee Hybrid.
Veja a documentação do
Apigee Edge.
O quê
Minimiza o risco representado por ataques ao nível do conteúdo, permitindo-lhe especificar limites em várias estruturas JSON, como matrizes e strings.
Esta política é uma política extensível e a utilização desta política pode ter implicações de custo ou utilização, consoante a sua licença do Apigee. Para ver informações sobre os tipos de políticas e as implicações de utilização, consulte Tipos de políticas.
Vídeo: veja um breve vídeo para saber mais sobre como a política JSONThreatProtection lhe permite proteger as APIs contra ataques ao nível do conteúdo.
Vídeo: veja este breve vídeo sobre a plataforma de API multicloud da Apigee.
Referência do elemento
A referência de elementos descreve os elementos e os atributos da política JSONThreatProtection.
<JSONThreatProtection async="false" continueOnError="false" enabled="true" name="JSON-Threat-Protection-1"> <DisplayName>JSONThreatProtection 1</DisplayName> <ArrayElementCount>20</ArrayElementCount> <ContainerDepth>10</ContainerDepth> <ObjectEntryCount>15</ObjectEntryCount> <ObjectEntryNameLength>50</ObjectEntryNameLength> <Source>request</Source> <StringValueLength>500</StringValueLength> </JSONThreatProtection>
Atributos <JSONThreatProtection>
<JSONThreatProtection async="false" continueOnError="false" enabled="true" name="JSON-Threat-Protection-1">
A tabela seguinte descreve os atributos comuns a todos os elementos principais de políticas:
| Atributo | Descrição | Predefinição | Presença |
|---|---|---|---|
name |
O nome interno da política. O valor do atributo Opcionalmente, use o elemento |
N/A | Obrigatória |
continueOnError |
Definido como Definido como |
falso | Opcional |
enabled |
Defina como Defina como |
verdadeiro | Opcional |
async |
Este atributo foi descontinuado. |
falso | Descontinuado |
Elemento <DisplayName>
Use em conjunto com o atributo name para etiquetar a política no editor de proxy da IU de gestão com um nome diferente em linguagem natural.
<DisplayName>Policy Display Name</DisplayName>
| Predefinição |
N/A Se omitir este elemento, é usado o valor do atributo |
|---|---|
| Presença | Opcional |
| Tipo | String |
Elemento <ArrayElementCount>
Especifica o número máximo de elementos permitidos numa matriz.
<ArrayElementCount>20</ArrayElementCount>
| Predefinição: | Se não especificar este elemento ou se especificar um número inteiro negativo, o sistema não aplica um limite. |
| Presença: | Opcional |
| Tipo: | Número inteiro |
Elemento <ContainerDepth>
Especifica a profundidade de contenção máxima permitida, em que os contentores são objetos ou matrizes. Por exemplo, uma matriz que contenha um objeto que contenha um objeto resultaria numa profundidade de contenção de 3.
<ContainerDepth>10</ContainerDepth>
| Predefinição: | Se não especificar este elemento ou se especificar um número inteiro negativo, o sistema não aplica nenhum limite. |
| Presença: | Opcional |
| Tipo: | Número inteiro |
Elemento <ObjectEntryCount>
Especifica o número máximo de entradas permitidas num objeto.
<ObjectEntryCount>15</ObjectEntryCount>
| Predefinição: | Se não especificar este elemento ou se especificar um número inteiro negativo, o sistema não aplica nenhum limite. |
| Presença: | Opcional |
| Tipo: | Número inteiro |
Elemento <ObjectEntryNameLength>
Especifica o comprimento máximo da string permitido para um nome de propriedade num objeto.
<ObjectEntryNameLength>50</ObjectEntryNameLength>
| Predefinição: | Se não especificar este elemento ou se especificar um número inteiro negativo, o sistema não aplica um limite. |
| Presença: | Opcional |
| Tipo: | Número inteiro |
Elemento <Source>
Mensagem a ser analisada quanto a ataques de payload JSON. Normalmente, esta opção está definida como request, uma vez que, normalmente, tem de validar os pedidos recebidos de apps de cliente.
Quando definido como message, este elemento avalia automaticamente a mensagem de pedido quando anexada ao fluxo de pedido e a mensagem de resposta quando anexada ao fluxo de resposta.
<Source>request</Source>
| Predefinição: | pedido |
| Presença: | Opcional |
| Tipo: |
String. Valores válidos: request, response ou message. |
Elemento <StringValueLength>
Especifica o comprimento máximo permitido para um valor de string.
<StringValueLength>500</StringValueLength>
| Predefinição: | Se não especificar este elemento ou se especificar um número inteiro negativo, o sistema não aplica um limite. |
| Presença: | Opcional |
| Tipo: | Número inteiro |
Referência de erro
Esta secção descreve os códigos de falha e as mensagens de erro devolvidas, bem como as variáveis de falha definidas pelo Apigee quando esta política aciona um erro. É importante conhecer estas informações se estiver a desenvolver regras de falhas para resolver falhas. Para saber mais, consulte os artigos O que precisa de saber sobre erros de políticas e Processamento de falhas.
Erros de tempo de execução
Estes erros podem ocorrer quando a política é executada.
| Código de falha | Estado de HTTP | Causa | Corrigir |
|---|---|---|---|
steps.jsonthreatprotection.ExecutionFailed |
500 |
A política de JSONThreatProtection pode gerar muitos tipos diferentes de erros de ExecutionFailed.
A maioria destes erros ocorre quando é excedido um limite específico definido na política. Estes tipos de erros incluem:
comprimento do nome da entrada do objeto,
contagem de entradas do objeto,
contagem de elementos da matriz,
profundidade do contentor,
comprimento do valor da string.
Este erro também ocorre quando o payload contém um objeto JSON inválido.
|
build |
steps.jsonthreatprotection.SourceUnavailable |
500 |
Este erro ocorre se a variável message
especificada no elemento <Source> for:
|
build |
steps.jsonthreatprotection.NonMessageVariable |
500 |
Este erro ocorre se o elemento <Source> estiver definido para uma variável que não seja do tipo message.
|
build |
Erros de implementação
Nenhum.
Variáveis de falha
Estas variáveis são definidas quando esta política aciona um erro. Para mais informações, consulte o artigo O que precisa de saber acerca dos erros de políticas.
| Variáveis | Onde | Exemplo |
|---|---|---|
fault.name="fault_name" |
fault_name é o nome da falha, conforme indicado na tabela Erros de tempo de execução acima. O nome da falha é a última parte do código de falha. | fault.name Matches "SourceUnavailable" |
jsonattack.policy_name.failed |
policy_name é o nome especificado pelo utilizador da política que gerou a falha. | jsonattack.JTP-SecureRequest.failed = true |
Exemplo de resposta de erro
{
"fault": {
"faultstring": "JSONThreatProtection[JPT-SecureRequest]: Execution failed. reason: JSONThreatProtection[JTP-SecureRequest]: Exceeded object entry name length at line 2",
"detail": {
"errorcode": "steps.jsonthreatprotection.ExecutionFailed"
}
}
}Exemplo de regra de falha
<FaultRule name="JSONThreatProtection Policy Faults">
<Step>
<Name>AM-CustomErrorResponse</Name>
<Condition>(fault.name Matches "ExecutionFailed") </Condition>
</Step>
<Condition>(jsonattack.JPT-SecureRequest.failed = true) </Condition>
</FaultRule>
Esquemas
Notas de utilização
Tal como os serviços baseados em XML, as APIs que suportam a notação de objetos JavaScript (JSON) são vulneráveis a ataques ao nível do conteúdo. Os ataques JSON simples tentam usar estruturas que sobrecarregam os analisadores JSON para falhar um serviço e induzir ataques de negação de serviço ao nível da aplicação. Todas as definições são opcionais e devem ser ajustadas para otimizar os requisitos do seu serviço em função de potenciais vulnerabilidades.
Tópicos relacionados
Política RegularExpressionProtection