SAP云平台API管理提供了许多现成的API安全最佳实践，可以根据您的企业需求进行定制。这些API安全最佳实践包括身份验证和授权的安全策略，流量管理等等。

OWASP Top 10代表了对web应用程序最关键安全风险的广泛共识，它将注入攻击列为web应用程序安全攻击的前10名之一。攻击者使用代码注入技术，如发送膨胀消息或深层嵌套请求来使用API服务器内存资源使服务器不可用。

SAP API管理的XML威胁策略可以轻松添加到任何API，以符合OWASP安全检查中列出的输入验证安全规则，以减轻注入攻击。在本博客中，我们将扩展JSON Threat protection之前的博客，将XML Threat protection支持添加到SAP Gateway OData服务

前提条件

SAP云平台API管理租户

启动API门户

登录到您的SAP云平台API管理帐户（例如https://account.hanatrial.ondemand.com/cockpit).导航到"服务"选项卡，搜索API管理服务磁贴并单击以打开API管理服务。

单击访问API门户的链接以打开API门户。

XML威胁保护

在本节中，我们将描述XML威胁保护策略在处理具有深嵌套子元素的大XML负载时的用法。

导航到汉堡包图标的定义，然后选择API选项卡。选择应用了API速率限制的API代理。

单击所选API代理的策略按钮。

单击策略设计器中的编辑按钮，从ProxyEndPoint部分选择预流，然后单击XML威胁保护旁边的+按钮"安全策略"部分下提供的策略。

在"创建策略"屏幕中指定策略名称，云服务器购买，说"migrateXmlCodeInjection"，然后单击"添加"按钮。

选择新添加的migrateXmlCodeInjection策略，人工智能的技术有哪些，然后添加以下策略片段。

在"条件字符串"文本框中，输入下面的代码片段使JSON威胁保护策略仅在修改请求（如POST/PUT）时执行。

单击"更新"按钮保存策略更改

单击"保存"按钮保存对API代理的更改。

通过此操作，我们成功地应用了XML威胁保护策略以最小化内容级攻击带来的风险。

最后测试流

从汉堡包图标导航到测试选项卡

从API列表中搜索要测试的API代理，消费返利新模式，说GatewayServiceRestrictedAccess，然后单击要测试的API。

单击Authentication:None链接，然后单击选择Basic Authentication以设置连接到SAP Gateway ES4系统的用户凭据

将您的用户凭据输入到SAP Gateway ES4系统并单击OK按钮

由于我们将使用POST调用传递JSON负载，因此需要x-csrf-token处理。单击标题按钮。输入x-csrf-token作为头名称，我的云，fetch作为头值，然后单击Send按钮

单击response headers选项卡，然后在OData批处理请求调用中复制从服务器收到的x-csrf-token值  将/SalesOrderSet附加到API代理URL，然后选择POST方法。在x-csrf-token头值中，粘贴上一次调用中从服务器收到的x-csrf-token头响应。单击标题旁边的+按钮，然后添加一个名为Content Type、值设置为application/xml的新标题。再次单击标题旁边的+按钮，然后添加另一个名为Accept、值设置为application/xml的标题。在请求正文中，粘贴以下请求负载，然后单击发送按钮

由于请求在XML威胁保护策略中定义的给定限制内，SAP API管理将成功地将调用传递到SAP网关系统，并创建销售订单。

在请求正文中，如何用大数据，粘贴以下请求负载，然后单击发送按钮

这一次，将违反XML威胁保护限制，并收到来自SAP API管理系统的错误。

进一步阅读

API安全最佳实践博客系列的下一部分-记录所有API交互API安全最佳实践博客系列的上一部分–针对注入攻击的JSON威胁保护API安全最佳实践有关SAP云平台API管理的更多博客，请访问SAP社区