Questa pagina si applica ad Apigee e Apigee hybrid.
Visualizza la documentazione di
Apigee Edge.
Cosa
Risolvi le vulnerabilità XML e riduci al minimo gli attacchi alla tua API. Se vuoi, puoi rilevare gli attacchi di payload XML in base ai limiti configurati. Esegui la scansione per rilevare le minacce XML utilizzando i seguenti metodi:
- Valuta il contenuto del messaggio alla ricerca di parole chiave o pattern specifici da escludere
- Rileva i messaggi danneggiati o con formato non corretto prima che vengano analizzati
Questo criterio è un criterio estensibile e il suo utilizzo potrebbe comportare implicazioni in termini di costi o utilizzo, a seconda della licenza Apigee. Per informazioni sui tipi di criteri e sulle implicazioni per l'utilizzo, consulta Tipi di criteri.
Guardare un breve video sulla protezione dalle minacce
Video: guarda un breve video sulle norme relative alla protezione dalle minacce della serie Video di 4 minuti per gli sviluppatori (4MV4D).
Riferimento elemento
Il riferimento all'elemento descrive gli elementi e gli attributi del criterio XMLThreatProtection.
<XMLThreatProtection async="false" continueOnError="false" enabled="true" name="XML-Threat-Protection-1"> <DisplayName>XML Threat Protection 1</DisplayName> <NameLimits> <Element>10</Element> <Attribute>10</Attribute> <NamespacePrefix>10</NamespacePrefix> <ProcessingInstructionTarget>10</ProcessingInstructionTarget> </NameLimits> <Source>request</Source> <StructureLimits> <NodeDepth>5</NodeDepth> <AttributeCountPerElement>2</AttributeCountPerElement> <NamespaceCountPerElement>3</NamespaceCountPerElement> <ChildCount includeComment="true" includeElement="true" includeProcessingInstruction="true" includeText="true">3</ChildCount> </StructureLimits> <ValueLimits> <Text>15</Text> <Attribute>10</Attribute> <NamespaceURI>10</NamespaceURI> <Comment>10</Comment> <ProcessingInstructionData>10</ProcessingInstructionData> </ValueLimits> </XMLThreatProtection>
Attributi <XMLThreatProtection>
<XMLThreatProtection async="false" continueOnError="false" enabled="true" name="XML-Threat-Protection-1">
La tabella seguente descrive gli attributi comuni a tutti gli elementi principali dei criteri:
| Attributo | Descrizione | Predefinito | Presenza |
|---|---|---|---|
name |
Il nome interno del criterio. Il valore dell'attributo Se vuoi, utilizza l'elemento |
N/D | Obbligatorio |
continueOnError |
Imposta il valore su Imposta su |
falso | Facoltativo |
enabled |
Imposta su Imposta |
true | Facoltativo |
async |
Questo attributo è stato ritirato. |
falso | Ritirato |
<DisplayName> elemento
Da utilizzare in aggiunta all'attributo name per etichettare il criterio in
editor proxy della UI di gestione con un nome diverso e in linguaggio naturale.
<DisplayName>Policy Display Name</DisplayName>
| Predefinito |
N/D Se ometti questo elemento, il valore dell'attributo |
|---|---|
| Presenza | Facoltativo |
| Tipo | Stringa |
Elemento <NameLimits>
Specifica i limiti di caratteri da controllare e applicare dal criterio.
<NameLimits> <Element>10</Element> <Attribute>10</Attribute> <NamespacePrefix>10</NamespacePrefix> <ProcessingInstructionTarget>10</ProcessingInstructionTarget> </NameLimits>
| Valore predefinito: | N/D |
| Presenza: | Facoltativo |
| Tipo: | N/D |
Elemento <NameLimits>/<Element>
Specifica un limite per il numero massimo di caratteri consentiti in qualsiasi nome di elemento nel documento XML.
Ad esempio, considera il seguente XML:
<book category="WEB"> <title>Learning XML</title> <author>Erik T. Ray</author> <year>2003</year> </book>
Durante l'analisi del codice XML riportato sopra, il valore dell'elemento <Element> nello snippet di norme riportato di seguito convaliderà che i nomi degli elementi (book, title, author e year)) non superino i 10 caratteri.
<NameLimits> <Element>10</Element> <Attribute>10</Attribute> <NamespacePrefix>10</NamespacePrefix> <ProcessingInstructionTarget>10</ProcessingInstructionTarget> </NameLimits>
| Valore predefinito: | Se non specifichi un limite, il sistema applica un valore predefinito di -1,
che equivale a nessun limite. |
| Presenza: | Facoltativo |
| Tipo: | Numero intero |
Elemento <NameLimits>/<Attribute>
Specifica un limite per il numero massimo di caratteri consentiti in qualsiasi nome di attributo nel documento XML.
Ad esempio, considera il seguente XML:
<book category="WEB"> <title>Learning XML</title> <author>Erik T. Ray</author> <year>2003</year> </book>
Durante l'analisi del codice XML riportato sopra, il valore dell'elemento <Attribute> nello snippet di norme riportato di seguito convaliderà che il nome dell'attributo category non superi i 10 caratteri.
<NameLimits> <Element>10</Element> <Attribute>10</Attribute> <NamespacePrefix>10</NamespacePrefix> <ProcessingInstructionTarget>10</ProcessingInstructionTarget> </NameLimits>
| Valore predefinito: | Se non specifichi un limite, il sistema applica un valore predefinito di -1,
che equivale a nessun limite. |
| Presenza: | Facoltativo |
| Tipo: | Numero intero |
Elemento <NameLimits>/<NamespacePrefix>
Specifica un limite al numero massimo di caratteri consentiti nel prefisso dello spazio dei nomi nel documento XML.
Ad esempio, considera il seguente XML:
<ns1:myelem xmlns:ns1="http://ns1.com"/>
Quando analizzi il codice XML riportato sopra, il valore dell'elemento <NamespacePrefix> nello snippet di criteri riportato di seguito convaliderà che il prefisso dello spazio dei nomi ns1 non superi i caratteri 10.
<NameLimits> <Element>10</Element> <Attribute>10</Attribute> <NamespacePrefix>10</NamespacePrefix> <ProcessingInstructionTarget>10</ProcessingInstructionTarget> </NameLimits>
| Valore predefinito: | Se non specifichi un limite, il sistema applica un valore predefinito di -1,
che equivale a nessun limite. |
| Presenza: | Facoltativo |
| Tipo: | Numero intero |
Elemento <NameLimits>/<ProcessingInstructionTarget>
Specifica un limite al numero massimo di caratteri consentiti nel target di eventuali istruzioni di elaborazione nel documento XML.
Ad esempio, considera il seguente XML:
<?xml-stylesheet type="text/xsl" href="style.xsl"?>
Quando analizzi il codice XML riportato sopra, il valore dell'elemento <ProcessingInstructionTarget>
nello snippet del criterio riportato di seguito convaliderà che la destinazione dell'istruzione di elaborazione
xml-stylesheet non superi i 10 caratteri.
<NameLimits> <Element>10</Element> <Attribute>10</Attribute> <NamespacePrefix>10</NamespacePrefix> <ProcessingInstructionTarget>10</ProcessingInstructionTarget> </NameLimits>
| Valore predefinito: | Se non specifichi un limite, il sistema applica un valore predefinito di -1,
che equivale a nessun limite. |
| Presenza: | Facoltativo |
| Tipo: | Numero intero |
Elemento <Source>
Messaggio da sottoporre a screening per rilevare attacchi di payload XML. In genere viene impostato su request, poiché in genere dovrai convalidare le richieste in entrata dalle app client.
Se impostato su message, questo elemento valuterà automaticamente il messaggio di richiesta
se allegato al flusso di richiesta e il messaggio di risposta se allegato al flusso di risposta.
<Source>request</Source>
| Valore predefinito: | richiesta |
| Presenza: | Facoltativo |
| Tipo: |
Stringa. Seleziona |
Elemento <StructuralLimits>
Specifica i limiti strutturali da verificare e applicare dal criterio.
<StructureLimits> <NodeDepth>5</NodeDepth> <AttributeCountPerElement>2</AttributeCountPerElement> <NamespaceCountPerElement>3</NamespaceCountPerElement> <ChildCount includeComment="true" includeElement="true" includeProcessingInstruction="true" includeText="true">3</ChildCount> </StructureLimits>
| Valore predefinito: | N/D |
| Presenza: | Facoltativo |
| Tipo: | N/D |
Elemento <StructuralLimits>/<NodeDepth>
Specifica la profondità massima del nodo consentita in XML.
<StructureLimits> <NodeDepth>5</NodeDepth> <AttributeCountPerElement>2</AttributeCountPerElement> <NamespaceCountPerElement>3</NamespaceCountPerElement> <ChildCount includeComment="true" includeElement="true" includeProcessingInstruction="true" includeText="true">3</ChildCount> </StructureLimits>
| Valore predefinito: | Se non specifichi un limite, il sistema applica un valore predefinito di -1,
che equivale a nessun limite. |
| Presenza: | Facoltativo |
| Tipo: |
Numero intero |
Elemento <StructuralLimits>/<AttributeCountPerElement>
Specifica il numero massimo di attributi consentiti per qualsiasi elemento.
Ad esempio, considera il seguente XML:
<book category="WEB"> <title>Learning XML</title> <author>Erik T. Ray</author> <year>2003</year> </book>
<AttributeCountPerElement>
nello snippet di criteri riportato di seguito convaliderà che gli elementi book, title,
author e year non abbiano più di 2 attributi ciascuno.
Tieni presente che gli attributi utilizzati per definire gli spazi dei nomi non vengono conteggiati.
<StructureLimits> <NodeDepth>5</NodeDepth> <AttributeCountPerElement>2</AttributeCountPerElement> <NamespaceCountPerElement>3</NamespaceCountPerElement> <ChildCount includeComment="true" includeElement="true" includeProcessingInstruction="true" includeText="true">3</ChildCount> </StructureLimits>
| Valore predefinito: | Se non specifichi un limite, il sistema applica un valore predefinito di -1,
che equivale a nessun limite. |
| Presenza: | Facoltativo |
| Tipo: |
Numero intero |
Elemento <StructuralLimits>/<NameSpaceCountPerElement>
Specifica il numero massimo di definizioni dello spazio dei nomi consentite per qualsiasi elemento.
Ad esempio, considera il seguente XML:
<e1 attr1="val1" attr2="val2">
<e2 xmlns="http://apigee.com" xmlns:yahoo="http://yahoo.com" one="1" yahoo:two="2"/>
</e1>Quando analizzi il codice XML riportato sopra, il valore dell'elemento <NamespaceCountPerElement>
nello snippet delle norme riportato di seguito convaliderà che gli elementi e1 e e2
non abbiano più di 2 definizioni dello spazio dei nomi ciascuno. In questo caso, <e1> non ha definizioni di spazi dei nomi e
<e2> ne ha due: xmlns="http://apigee.com" e
xmlns:yahoo="http://yahoo.com".
<StructureLimits> <NodeDepth>5</NodeDepth> <AttributeCountPerElement>2</AttributeCountPerElement> <NamespaceCountPerElement>3</NamespaceCountPerElement> <ChildCount includeComment="true" includeElement="true" includeProcessingInstruction="true" includeText="true">3</ChildCount> </StructureLimits>
| Valore predefinito: | Se non specifichi un limite, il sistema applica un valore predefinito di -1,
che equivale a nessun limite. |
| Presenza: | Facoltativo |
| Tipo: |
Numero intero |
Elemento <StructuralLimits>/<ChildCount>
Specifica il numero massimo di elementi secondari consentiti per qualsiasi elemento.
<StructureLimits> <NodeDepth>5</NodeDepth> <AttributeCountPerElement>2</AttributeCountPerElement> <NamespaceCountPerElement>3</NamespaceCountPerElement> <ChildCount includeComment="true" includeElement="true" includeProcessingInstruction="true" includeText="true">3</ChildCount> </StructureLimits>
| Valore predefinito: | Se non specifichi un limite, il sistema applica un valore predefinito di -1,
che equivale a nessun limite. |
| Presenza: | Facoltativo |
| Tipo: |
Numero intero |
Attributi
| Attributo | Predefinito | Presenza |
|---|---|---|
| includeComment | true | Facoltativo |
| includeElement | true | Facoltativo |
| includeProcessingInstructions | true | Facoltativo |
| includeText | true | Facoltativo |
Elemento <ValueLimits>
Specifica i limiti di caratteri per i valori da controllare e applicare dal criterio.
<ValueLimits> <Text>15</Text> <Attribute>10</Attribute> <NamespaceURI>10</NamespaceURI> <Comment>10</Comment> <ProcessingInstructionData>10</ProcessingInstructionData> </ValueLimits>
| Valore predefinito: | N/D |
| Presenza: | Facoltativo |
| Tipo: |
N/D |
Elemento <ValueLimits>/<Text>
Specifica un limite di caratteri per tutti i nodi di testo presenti nel documento XML.
Ad esempio, considera il seguente XML:
<book category="WEB"> <title>Learning XML</title> <author>Erik T. Ray</author> <year>2003</year> </book>
<Text> nello snippet di norme riportato di seguito convaliderà che i valori di testo degli elementi Learning XML, Erik T.
Ray, e 2003 non superino ciascuno 15 caratteri.
<ValueLimits> <Text>15</Text> <Attribute>10</Attribute> <NamespaceURI>10</NamespaceURI> <Comment>10</Comment> <ProcessingInstructionData>10</ProcessingInstructionData> </ValueLimits>
| Valore predefinito: | Se non specifichi un limite, il sistema applica un valore predefinito di -1,
che equivale a nessun limite. |
| Presenza: | Facoltativo |
| Tipo: |
Numero intero |
Elemento <ValueLimits>/<Attribute>
Specifica un limite di caratteri per i valori degli attributi presenti nel documento XML.
Ad esempio, considera il seguente XML:
<book category="WEB"> <title>Learning XML</title> <author>Erik T. Ray</author> <year>2003</year> </book>
<Attribute> nello snippet di norme riportato di seguito convaliderà che il valore dell'attributo WEB non superi i caratteri 10.
<ValueLimits> <Text>15</Text> <Attribute>10</Attribute> <NamespaceURI>10</NamespaceURI> <Comment>10</Comment> <ProcessingInstructionData>10</ProcessingInstructionData> </ValueLimits>
| Valore predefinito: | Se non specifichi un limite, il sistema applica un valore predefinito di -1,
che equivale a nessun limite. |
| Presenza: | Facoltativo |
| Tipo: |
Numero intero |
Elemento <ValueLimits>/<NamespaceURI>
Specifica un limite di caratteri per gli URI dello spazio dei nomi presenti nel documento XML.
Ad esempio, considera il seguente XML:
<ns1:myelem xmlns:ns1="http://ns1.com"/>
<NamespaceURI> nello snippet di criteri riportato di seguito convaliderà che il valore dell'URI dello spazio dei nomi http://ns1.com non superi i 10 caratteri.
<ValueLimits> <Text>15</Text> <Attribute>10</Attribute> <NamespaceURI>10</NamespaceURI> <Comment>10</Comment> <ProcessingInstructionData>10</ProcessingInstructionData> </ValueLimits>
| Valore predefinito: | Se non specifichi un limite, il sistema applica un valore predefinito di -1,
che equivale a nessun limite. |
| Presenza: | Facoltativo |
| Tipo: |
Numero intero |
Elemento <ValueLimits>/<Comment>
Specifica un limite di caratteri per i commenti presenti nel documento XML.
Ad esempio, considera il seguente XML:
<book category="WEB"> <!-- This is a comment --> <title>Learning XML</title> <author>Erik T. Ray</author> <year>2003</year> </book>
<Comment> nello snippet di norme riportato di seguito convaliderà che il testo del commento This is a comment non superi i caratteri 10.
<ValueLimits> <Text>15</Text> <Attribute>10</Attribute> <NamespaceURI>10</NamespaceURI> <Comment>10</Comment> <ProcessingInstructionData>10</ProcessingInstructionData> </ValueLimits>
| Valore predefinito: | Se non specifichi un limite, il sistema applica un valore predefinito di -1,
che equivale a nessun limite. |
| Presenza: | Facoltativo |
| Tipo: |
Numero intero |
Elemento <ValueLimits>/<ProcessingInstructionData>
Specifica un limite di caratteri per il testo di qualsiasi istruzione di elaborazione presente nel documento XML.
Ad esempio, considera il seguente XML:
<?xml-stylesheet type="text/xsl" href="style.xsl"?>
<ProcessingInstructionData> nello snippet di criteri riportato di seguito convaliderà che il testo dell'istruzione di elaborazionetype="text/xsl" href="style.xsl" non superi i 10 caratteri.
<ValueLimits> <Text>15</Text> <Attribute>10</Attribute> <NamespaceURI>10</NamespaceURI> <Comment>10</Comment> <ProcessingInstructionData>10</ProcessingInstructionData> </ValueLimits>
| Valore predefinito: | Se non specifichi un limite, il sistema applica un valore predefinito di -1,
che equivale a nessun limite. |
| Presenza: | Facoltativo |
| Tipo: |
Numero intero |
Messaggi di errore
Questa sezione descrive i codici di errore e i messaggi di errore restituiti e le variabili di errore impostate da Apigee quando questo criterio attiva un errore. Queste informazioni sono importanti se stai sviluppando regole di errore per gestire gli errori. Per scoprire di più, consulta Informazioni importanti sugli errori relativi alle norme e Gestione degli errori.
Errori di runtime
Questi errori possono verificarsi durante l'esecuzione del criterio.
| Codice guasto | Stato HTTP | Causa | Correggi |
|---|---|---|---|
steps.xmlthreatprotection.ExecutionFailed |
500 |
Le norme relative a XMLThreatProtection possono generare molti tipi diversi di errori ExecutionFailed.
La maggior parte di questi errori si verifica quando viene superata una soglia specifica impostata nel criterio. Questi
tipi di errori includono:
nome elemento lunghezza,
numero di bambini,
profondità del nodo,
numero attributi,
lunghezza del nome dell'attributo,
e molti altri. Puoi visualizzare l'elenco completo nell'argomento Risoluzione degli errori di runtime del criterio XMLThreatProtection.
|
build |
steps.xmlthreatprotection.InvalidXMLPayload |
500 |
Questo errore si verifica se il payload del messaggio di input specificato dall'elemento <Source> del criterio XMLThreatProtection non è un documento XML valido.
|
build |
steps.xmlthreatprotection.SourceUnavailable |
500 |
Questo errore si verifica se il messaggio
specificata nell'elemento <Source> è:
|
build |
steps.xmlthreatprotection.NonMessageVariable |
500 |
Questo errore si verifica se l'elemento <Source> è impostato su una variabile che
non è di tipo
messaggio.
|
build |
Errori di deployment
Nessuno.
Variabili di errore
Queste variabili vengono impostate quando si verifica un errore di runtime. Per ulteriori informazioni, consulta Informazioni importanti sugli errori relativi alle norme.
| Variabili | Dove | Esempio |
|---|---|---|
fault.name="fault_name" |
fault_name è il nome dell'errore, come indicato nella tabella Errori di runtime sopra. Il nome dell'errore è l'ultima parte del codice di errore. | fault.name Matches "SourceUnavailable" |
xmlattack.policy_name.failed |
policy_name è il nome specificato dall'utente del criterio che ha generato l'errore. | xmlattack.XPT-SecureRequest.failed = true |
Esempio di risposta di errore
{ "fault": { "faultstring": "XMLThreatProtection[XPT-SecureRequest]: Execution failed. reason: XMLThreatProtection[XTP-SecureRequest]: Exceeded object entry name length at line 2", "detail": { "errorcode": "steps.xmlthreatprotection.ExecutionFailed" } } }
Esempio di regola di errore
<FaultRule name="XML Threat Protection Policy Faults">
<Step>
<Name>AM-CustomErrorResponse</Name>
<Condition>(fault.name Matches "ExecutionFailed") </Condition>
</Step>
<Condition>(xmlattack.XPT-SecureRequest.failed = true) </Condition>
</FaultRule>Schemi
Note sull'utilizzo
Qualsiasi server che riceve dati online è soggetto ad attacchi, intenzionali o meno. Alcuni attacchi sfruttano la flessibilità del linguaggio XML creando documenti non validi che hanno il potenziale di compromettere i sistemi di backend. I documenti XML danneggiati o estremamente complessi possono far sì che i server allocano più memoria di quella disponibile, bloccando le risorse della CPU e della memoria, facendo arrestare in modo anomalo i parser e disattivando in genere l'elaborazione dei messaggi e creando attacchi di denial-of-service a livello di applicazione.
Configurazione degli errori di protezione dalle minacce
Informazioni importanti se stai creando regole di errore per questo criterio: per impostazione predefinita, Apigee genera un codice di stato HTTP 500 Errore interno del server e un codice di errore ExecutionFailed se un messaggio non supera un criterio di protezione dalle minacce JSON o XML. Puoi modificare questo comportamento di errore con una nuova proprietà a livello di organizzazione. Quando imposti la proprietà features.isPolicyHttpStatusEnabled dell'organizzazione su true, si verifica il seguente comportamento:
- Richiesta: con un criterio di protezione dalle minacce associato a qualsiasi flusso di richieste, i messaggi non validi restituiranno un codice di stato 400 Bad Request, insieme a un codice di errore del criterio corrispondente (anziché solo ExecutionFailed).
- Risposta: con un criterio di protezione dalle minacce associato a qualsiasi flusso di risposta, i messaggi non validi continuano a restituire un codice di stato 500 (errore interno del server) e viene generato uno dei codici di errore del criterio corrispondente (anziché solo ExecutionFailed).
I clienti Cloud devono contattare l'assistenza clienti Google Cloud per impostare la proprietà dell'organizzazione.
curl -u email:password -X POST -H "Content-type:application/xml" http://host:8080/v1/o/myorg -d \ "<Organization type="trial" name="MyOrganization"> <Environments/> <Properties> <Property name="features.isPolicyHttpStatusEnabled">true</Property> ... </Properties> </Organization>"
Argomenti correlati
Criteri di protezione dalle minacce in formato JSON
Norme sulla protezione delle espressioni regolari