ADC

XML 消息验证检查

XML 消息验证检查会检查包含 XML 消息的请求,以确保它们有效。如果请求包含无效的 XML 消息,Web App Firewall 会阻止该请求。XML 验证检查的目的是防止攻击者使用特别构造的无效 XML 消息来破坏应用程序的安全性。

如果使用向导或 GUI,则在“修改 XML 邮件验证检查”对话框的“常规”选项卡上,您可以启用或禁用“阻止”、“日志”和“统计”操作。

如果使用命令行接口,则可以输入以下命令来配置 XML 消息验证检查:

  • set appfw profile <name> -xmlValidationAction [**block**] [**log**] [**stats**] [**none**]

必须使用 GUI 配置其他 XML 验证检查设置。在“ 修改 XML 邮件验证检查”对话框的“ 检查”选项卡上,您可以配置以下设置:

  • XML 消息验证。使用以下选项之一验证 XML 消息:
    • 肥皂信封。仅验证 XML 消息的 SOAP 信封。
    • WSDL。使用 XML SOAP WSDL 验证 XML 消息。如果选择 WSDL 验证,则必须在 WSDL 对象下拉列表中选择 WSDL。如果要针对尚未导入 Web App Firewall 的 WSDL 进行验证,则可以单击“导入”按钮打开“管理 WSDL 导入”对话框并导入 WSDL。有关更多信息,请参阅 WSDL
      • 如果要验证整个 URL,请将“结束点检查”按钮数组中的“绝对”单选按钮保持选中状态。如果您只想验证主机后面的 URL 部分,请选择“相对”单选按钮。
      • 如果希望 Web App Firewall 严格强制实施 WSDL,并且不允许 WSDL 中未定义的任何其他 XML 标头,则必须清除“允许 WSDL 中未定义的其他标头”复选框。 警告:如果取消选中“ 允许未在 WSDL 中定义的其他标头”复选框,并且 WSDL 未定义受保护的 XML 应用程序或 Web 2.0 应用程序期望的所有 XML 标头或客户端发送,则可以阻止对受保护服务的合法访问。
    • XML 模式。使用 XML 模式验证 XML 消息。如果选择 XML 架构验证,则必须在 XML 架构对象下拉列表中选择 XML 架构。如果要针对尚未导入到 Web App Firewall 的 XML 架构进行验证,则可以单击“导入”按钮打开“管理 XML 架构导入”对话框并导入 WSDL。有关更多信息,请参阅 WSDL
  • 响应验证。默认情况下,Web App Firewall 不尝试验证响应。如果要验证来自受保护的应用程序或 Web 2.0 站点的响应,请选中“验证响应”复选框。执行此操作时,将激活“重用请求验证中指定的 XML 架构”复选框和“XML 架构对象”下拉列表。
    • 选中“重用 XML 架构”复选框以使用您为请求验证指定的架构来执行响应验证。 注意:如果选中此复选框, XML 架构对象下拉列表将显示为灰色。
    • 如果要使用不同的 XML 架构进行响应验证,请使用 XML 架构对象下拉列表选择或上载该 XML 架构。
XML 消息验证检查