Kebijakan JSONThreatProtection

Halaman ini berlaku untuk Apigee dan Apigee Hybrid.

Lihat dokumentasi Apigee Edge.

ikon kebijakan

Apa

Meminimalkan risiko yang ditimbulkan oleh serangan tingkat konten dengan memungkinkan Anda menentukan batas pada berbagai struktur JSON, seperti array dan string.

Kebijakan ini adalah Kebijakan yang dapat diperluas dan penggunaan kebijakan ini mungkin memiliki implikasi biaya atau penggunaan, bergantung pada lisensi Apigee Anda. Untuk mengetahui informasi tentang jenis kebijakan dan implikasi penggunaannya, lihat Jenis kebijakan.

Video: Tonton video singkat untuk mempelajari lebih lanjut cara kebijakan JSONThreatProtection memungkinkan Anda mengamankan API terhadap serangan tingkat konten.

Video: Tonton video singkat tentang platform API lintas cloud Apigee ini.

Referensi elemen

Referensi elemen menjelaskan elemen dan atribut kebijakan JSONThreatProtection.

<JSONThreatProtection async="false" continueOnError="false" enabled="true" name="JSON-Threat-Protection-1">
   <DisplayName>JSONThreatProtection 1</DisplayName>
   <ArrayElementCount>20</ArrayElementCount>
   <ContainerDepth>10</ContainerDepth>
   <ObjectEntryCount>15</ObjectEntryCount>
   <ObjectEntryNameLength>50</ObjectEntryNameLength>
   <Source>request</Source>
   <StringValueLength>500</StringValueLength>
</JSONThreatProtection>

Atribut <JSONThreatProtection>

<JSONThreatProtection async="false" continueOnError="false" enabled="true" name="JSON-Threat-Protection-1">

The following table describes attributes that are common to all policy parent elements:

Attribute Description Default Presence
name

The internal name of the policy. The value of the name attribute can contain letters, numbers, spaces, hyphens, underscores, and periods. This value cannot exceed 255 characters.

Optionally, use the <DisplayName> element to label the policy in the management UI proxy editor with a different, natural-language name.

 N/A Required
continueOnError

Set to false to return an error when a policy fails. This is expected behavior for most policies.

Set to true to have flow execution continue even after a policy fails. See also:

 false Optional
enabled

Set to true to enforce the policy.

Set to false to turn off the policy. The policy will not be enforced even if it remains attached to a flow.

 true Optional
async

This attribute is deprecated.

 false Deprecated

<DisplayName> element

Use in addition to the name attribute to label the policy in the management UI proxy editor with a different, natural-language name.

<DisplayName>Policy Display Name</DisplayName>
Default

N/A

If you omit this element, the value of the policy's name attribute is used.
Presence Optional
Type String

Elemen <ArrayElementCount>

Menentukan jumlah maksimum elemen yang diizinkan dalam array.

<ArrayElementCount>20</ArrayElementCount>
Default: Jika Anda tidak menentukan elemen ini, atau jika Anda menentukan bilangan bulat negatif, sistem tidak akan menerapkan batas.
Kehadiran: Opsional
Jenis: Bilangan bulat

Elemen <ContainerDepth>

Menentukan kedalaman penampungan maksimum yang diizinkan, dengan penampung berupa objek atau array. Misalnya, array yang berisi objek yang berisi objek akan menghasilkan kedalaman penampungan 3.

<ContainerDepth>10</ContainerDepth>
Default: Jika Anda tidak menentukan elemen ini, atau jika Anda menentukan bilangan bulat negatif, sistem tidak akan menerapkan batas apa pun.
Kehadiran: Opsional
Jenis: Bilangan bulat

Elemen <ObjectEntryCount>

Menentukan jumlah maksimum entri yang diizinkan dalam objek.

<ObjectEntryCount>15</ObjectEntryCount>
Default: Jika Anda tidak menentukan elemen ini, atau jika Anda menentukan bilangan bulat negatif, sistem tidak akan menerapkan batas apa pun.
Kehadiran: Opsional
Jenis: Bilangan bulat

Elemen <ObjectEntryNameLength>

Menentukan panjang string maksimum yang diizinkan untuk nama properti dalam objek.

<ObjectEntryNameLength>50</ObjectEntryNameLength>
Default: Jika Anda tidak menentukan elemen ini, atau jika Anda menentukan bilangan bulat negatif, sistem tidak akan menerapkan batas.
Kehadiran: Opsional
Jenis: Bilangan bulat

Elemen <Source>

Pesan yang akan diperiksa untuk serangan payload JSON. Biasanya, setelan ini ditetapkan ke request, karena Anda biasanya perlu memvalidasi permintaan masuk dari aplikasi klien. Jika disetel ke message, elemen ini akan otomatis mengevaluasi pesan permintaan saat dilampirkan ke alur permintaan dan pesan respons saat dilampirkan ke alur respons.

<Source>request</Source>
Default: permintaan
Kehadiran: Opsional
Jenis:

String.

Nilai yang valid: request, response, atau message.

Elemen <StringValueLength>

Menentukan panjang maksimum yang diizinkan untuk nilai string.

<StringValueLength>500</StringValueLength>
Default: Jika Anda tidak menentukan elemen ini, atau jika Anda menentukan bilangan bulat negatif, sistem tidak akan menerapkan batas.
Kehadiran: Opsional
Jenis: Bilangan bulat

Referensi error

Bagian ini menjelaskan kode error dan pesan error yang ditampilkan serta variabel error yang ditetapkan oleh Apigee saat kebijakan ini memicu error. Informasi ini penting untuk diketahui jika Anda mengembangkan aturan error untuk menangani error. Untuk mempelajari lebih lanjut, lihat Yang perlu Anda ketahui tentang error kebijakan dan Menangani error.

Error runtime

Error ini dapat terjadi saat kebijakan dijalankan.

Kode kerusakan Status HTTP Penyebab Perbaiki
steps.jsonthreatprotection.ExecutionFailed 500 Kebijakan JSONThreatProtection dapat menampilkan berbagai jenis error ExecutionFailed. Sebagian besar error ini terjadi saat batas tertentu yang ditetapkan dalam kebijakan terlampaui. Jenis error ini mencakup: panjang nama entri objek, jumlah entri objek, jumlah elemen array, kedalaman penampung, panjang nilai string string. Error ini juga terjadi jika payload berisi objek JSON yang tidak valid.
steps.jsonthreatprotection.SourceUnavailable 500 Error ini terjadi jika variabel message yang ditentukan dalam elemen <Source> adalah:
  • Di luar cakupan (tidak tersedia dalam alur tertentu tempat kebijakan dijalankan)
  • Bukan salah satu nilai yang valid request, response, atau message
steps.jsonthreatprotection.NonMessageVariable 500 Error ini terjadi jika elemen <Source> ditetapkan ke variabel yang bukan dari jenis message.

Error saat deployment

Tidak ada.

Variabel error

Variabel ini ditetapkan saat kebijakan ini memicu error. Untuk mengetahui informasi selengkapnya, lihat Yang perlu Anda ketahui tentang error kebijakan.

Variabel Dari mana Contoh
fault.name="fault_name" fault_name adalah nama error, seperti yang tercantum dalam tabel Runtime errors di atas. Nama error adalah bagian terakhir dari kode error. fault.name Matches "SourceUnavailable"
jsonattack.policy_name.failed policy_name adalah nama kebijakan yang ditentukan pengguna yang menampilkan error. jsonattack.JTP-SecureRequest.failed = true

Contoh respons error

{
  "fault": {
    "faultstring": "JSONThreatProtection[JPT-SecureRequest]: Execution failed. reason: JSONThreatProtection[JTP-SecureRequest]: Exceeded object entry name length at line 2",
    "detail": {
      "errorcode": "steps.jsonthreatprotection.ExecutionFailed"
    }
  }
}

Contoh aturan error

<FaultRule name="JSONThreatProtection Policy Faults">
    <Step>
        <Name>AM-CustomErrorResponse</Name>
        <Condition>(fault.name Matches "ExecutionFailed") </Condition>
    </Step>
    <Condition>(jsonattack.JPT-SecureRequest.failed = true) </Condition>
</FaultRule>

Skema

Catatan penggunaan

Seperti layanan berbasis XML, API yang mendukung notasi objek JavaScript (JSON) rentan terhadap serangan tingkat konten. Serangan JSON sederhana mencoba menggunakan struktur yang membebani parser JSON untuk membuat layanan error dan memicu serangan penolakan layanan tingkat aplikasi. Semua setelan bersifat opsional dan harus disesuaikan untuk mengoptimalkan persyaratan layanan Anda terhadap potensi kerentanan.

Topik terkait

Kebijakan JSONtoXML

Kebijakan XMLThreatProtection

Kebijakan RegularExpressionProtection