SAP云平台API管理提供了许多现成的API安全最佳实践，可以根据您的企业需求进行定制。这些API安全最佳实践包括身份验证和授权的安全策略，流量管理等等。

OWASP Top 10代表了对web应用程序最关键安全风险的广泛共识，它将注入攻击列为web应用程序安全攻击的前10名之一。攻击者使用代码注入技术，如发送膨胀消息或深层嵌套请求来使用API服务器内存资源使服务器不可用。

SAP API管理的JSON威胁策略可以轻松添加到任何API，数据分析与大数据，以符合OWASP安全检查中列出的输入验证安全规则，以减轻注入攻击。在这个博客中，我们将使用JSON威胁策略来指定传入请求体的限制，比如数组中允许的最大元素数，JSON对象的最大深度，大数据说，REST/OData API对象中允许的最大属性数。

此博客是API安全最佳实践博客系列的延续，在以前的博客中，OData/REST API中敏感数据的数据掩蔽已涵盖。

前提条件

SAP云平台API管理租户。

启动API门户

登录到您的SAP云平台、API管理帐户（例如https://account.hanatrial.ondemand.com/cockpit).导航到"服务"选项卡，搜索API管理服务磁贴并单击以打开API管理服务。

单击访问API门户的链接以打开API门户。

JSON威胁保护

在本节中，我们将描述如何使用JSON威胁保护策略将JSON负载的大小限制为以下值：-

最多2个数组元素。最大容器深度，允许对象中元素的深度嵌套最多5级。一个JSON对象中最多有50个属性。属性名称的最大长度为50个字符。最大属性字符串值为500个字符。

从汉堡包图标导航到Define，然后选择API选项卡。选择应用了API速率限制的API代理。

单击所选API代理的策略按钮。

单击策略设计器中的编辑按钮，从ProxyEndPoint部分选择预流，然后单击JSON威胁保护旁边的+按钮在"安全策略"部分下可用的策略。

在"创建策略"屏幕中指定策略名称，说"migratejsoncodeinjuction"，然后单击"添加"按钮。

选择新添加的migratejsoncodeinjuction策略，然后添加以下策略片段。

在"条件字符串"文本框中，输入以下代码片段，企业建站平台，以便JSON威胁保护策略仅在修改请求（如POST/PUT）时执行。

单击"更新"按钮保存策略更改

单击"保存"按钮保存对API代理的更改。

通过此操作，我们成功应用了JSON威胁保护策略将内容级攻击带来的风险降至最低。

最后测试流

从汉堡图标导航到测试选项卡

从API列表中搜索要测试的API代理，如GatewayServiceRestrictedAccess，然后单击要测试的API。

单击Authentication:None链接，大数据和云计算，然后单击选择Basic Authentication以设置连接到SAP Gateway ES4系统的用户凭据

将您的用户凭据输入到SAP Gateway ES4系统并单击OK按钮

由于我们将使用POST调用传递JSON负载，因此需要x-csrf-token处理。单击标题按钮。输入x-csrf-token作为头名称，fetch作为头值，然后单击Send按钮单击response headers选项卡，ecs云服务器，然后在OData批处理请求调用中复制从服务器接收的x-csrf-token值  将/SalesOrderSet附加到API代理URL，然后选择POST方法。在x-csrf-token头值中，粘贴上一次调用中从服务器收到的x-csrf-token头响应。单击标题旁边的+按钮，然后添加一个名为Content Type、值设置为application/json的新标题。再次单击标题旁边的+按钮，然后添加另一个名为Accept、值设置为application/json的标题。在请求正文中，粘贴以下请求负载，然后单击发送按钮

由于JSON请求在JSON威胁保护策略中定义的给定限制内，因此SAP API管理将成功地将调用传递到SAP网关系统，并创建销售订单。

在请求体中，粘贴以下请求负载，然后单击发送按钮

这一次，将违反JSON威胁保护限制，并接收到来自SAP API管理系统的错误。

进一步阅读

API安全最佳实践博客系列的下一部分-针对注入攻击的XML威胁保护API安全最佳实践博客系列的上一部分-敏感数据的数据屏蔽API安全最佳实践有关SAP云平台API管理的更多博客，请访问SAP社区