PRB:安裝 Internet Explorer 安全性補充程式 MS01-055 之後,要求之間的工作階段變數不存在

文章翻譯 文章翻譯
文章編號: 316112 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

徵狀

您可能會在安裝 Microsoft Internet Explorer 5.5 或 6.0 的安全性補充程式之後,遇到下列問題:
  • 遺失工作階段變數。
  • 沒有維護要求之間的工作階段狀態。
  • 用戶端系統沒有設定 Cookie。
注意 在您安裝了包含安全性補充程式 MS01-055 所提供修正程式的最新補充程式之後,也可能會發生這些問題。

發生的原因

安全性補充程式 MS01-055 可防止伺服器以不正確的名稱語法來設定 Cookie 名稱。使用 Cookie 的網域在網域名稱和伺服器名稱中,一定只能使用英數字元 ("-" 或 ".")。如果伺服器名稱包含其他字元,例如底線字元 ("_"),Internet Explorer 會阻擋來自該伺服器的 Cookie。

因為 ASP 工作階段狀態和工作階段變數是依賴 Cookie 進行運作,所以如果是無法在用戶端上設定 Cookie,ASP 就無法維護要求之間的工作階段狀態。

如果主機標頭出現不正確的名稱語法,也會造成這個問題的發生。

解決方案

如果需要替代的解決方案,請使用下列其中一種方法:
  • 重新命名網域名稱和伺服器名稱,而且只使用英數字元。
  • 使用「網際網路通訊協定」(IP) 位址 (而不要用網域/伺服器名稱) 來瀏覽至伺服器。
注意 您可能需要在重新命名伺服器之後,變更 Microsoft Internet Information Server (IIS) 設定。如需詳細資訊,請參閱<參考>一節。

狀況說明

這是原本設計的作法。

其他相關資訊

Internet Explorer 5.5 和 6.0 版中有潛在的安全性弱點,惡意的使用者可以透過這些弱點來建立 URL,允許某網站取得用戶端電腦所儲存 Cookie 的未經授權存取,並接著 (可能) 修改這些 Cookie 所包含的值。 因為有些網站會運用用戶端電腦所儲存的 Cookie 來存放機密資訊,因此,這類安全性弱點可能會暴露個人資訊。

安全性補充程式 MS01-055 會以防止伺服器以不正確名稱語法設定 Cookie 名稱的方式,修正這項安全性弱點。這個補充程式要求伺服器名稱必須依照 Request for Comments (RFC) 833 的 Appendix 1 <DOMAIN NAMES - IMPLEMENTATION and SPECIFICATION>所指定的命名慣例。如需詳細資訊,請參閱<參考>一節。

?考

如需有關安全性補充程式 MS01-055 的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
312461 MS01-055:Internet Explorer Cookie Data Can Be Exposed or Altered Through Script Injection
如需有關重新命名伺服器之後可能要變更 IIS 設定的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
234142 Updating IIS After You Change the Computer Name
如需有關 RFC 883 規格的詳細資訊,請造訪下列網際網路工程任務推動小組 (Internet Engineering Task Force) 網站:
http://www.ietf.org/rfc/rfc883.txt?number=883

屬性

文章編號: 316112 - 上次校閱: 2007年12月4日 - 版次: 5.3
這篇文章中的資訊適用於:
  • Microsoft Active Server Pages 4.0
  • Microsoft Internet Explorer 6.0
  • Microsoft Internet Explorer 5.5
  • Microsoft Internet Information Services 6.0
  • Microsoft Internet Information Services 5.1
  • Microsoft Internet Information Services 5.0
關鍵字:?
kbwebserver kbaspobj kbsecurity kbprb kbsecbulletin kbcookie KB316112
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com