ユーザー資格情報が埋め込まれた URL を指定すると XMLHTTP の呼び出しでエラーが発生する

文書翻訳 文書翻訳
文書番号: 832414 - 対象製品
: この資料に記載されている更新プログラムは、以下の「サポート技術情報」 (Microsoft Knowledge Base) の資料に記載されている更新プログラムに置き換えられます。
887606 [FIX] Microsoft XML Parser (MSXML) で誤ってキャッシュされた資格情報が使用される
すべて展開する | すべて折りたたむ

現象

以下のような形式の XMLHTTP 呼び出しを実行すると、問題が発生します。
Xmlhttp.open("GET", 
"http://someone:mypass@www.northwindtraders.com/default.asp", 
 false, "", "");
Xmlhttp.open("GET",
"http://someone:mypass@www.northwindtraders.com/default.asp",
 false, "someone", "passwd");
Xmlhttp.open("GET",
 "http://www.northwindtraders.com/default.asp",
  false, "someone", "mypass");
この場合、呼び出しは失敗し、次のエラー メッセージが表示されます。
エラー: 構文が無効です
しかし、以下の呼び出しは成功します。
Xmlhttp.open("GET", "http://www.northwindtraders.com/default.asp", false, "", "");

原因

以下の「サポート技術情報」 (Microsoft Knowledge Base) の資料に記載されている Microsoft Internet Explorer 用のセキュリティ更新プログラムが適用されている場合、ユーザーの資格情報が埋め込まれた URL は禁止されます。
832894 [MS04-004] Internet Explorer 用の累積的なセキュリティ修正プログラム

詳細

この資料の「解決方法」に記載されている修正プログラムを適用した後でも、XMLHTTP を以下の形式の URL で呼び出すと、引き続きエラーが発生します。
Xmlhttp.open("GET",
"http://someone:mypass@www.northwindtraders.com/default.asp",
 false);
Xmlhttp.open("GET",
"http://someone:mypass@www.northwindtraders.com/default.asp",
 false, "someone", "passwd");
修正プログラムを適用した後、URL を次の形式に変更する必要があります。
Xmlhttp.open("GET", "http://www.northwindtraders.com/default.asp", false, "someone", "mypass");

解決方法

マイクロソフトでは、サポートの対象となる修正プログラムを提供しています。この修正プログラムは、Open() メソッドの呼び出しで、パラメータとしてユーザーの資格情報を渡す場合にのみ有効です。URL にユーザーの資格情報を埋め込む場合には、この修正プログラムは有効ではありません。

: この修正プログラムは以下のバージョンの Microsoft XML Parser (MSXML) にのみ適用できます。
  • Microsoft XML 2.6
  • Microsoft XML 3.0 Service Pack 2
  • Microsoft XML 3.0 Service Pack 3
  • Microsoft XML 3.0 Service Pack 4
  • Microsoft XML 4.0 Service Pack 2
更新済みのファイルの入手方法および関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
887606 [FIX] Microsoft XML Parser (MSXML) で誤ってキャッシュされた資格情報が使用される

回避策

この問題を回避するには、次の形式を使用します。
Xmlhttp.open("GET", "http://www.northwindtraders.com/default.asp", false, "", "");

状況

マイクロソフトでは、ユーザーの資格情報を、URL に埋め込むのではなく、Open() メソッドの呼び出しでパラメータとして渡す場合についてのみ、この問題をこの資料の対象製品として記載されているマイクロソフト製品の問題として認識しています。

関連情報

関連情報については、次のマイクロソフト セキュリティ情報を参照してください。
http://www.microsoft.com/japan/technet/security/Bulletin/MS04-004.mspx
関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
834489 Internet Explorer で HTTP URL と HTTPS URL のユーザー情報を処理する際のデフォルトの動作を変更するセキュリティ更新プログラムの使用について
887606 [FIX] Microsoft XML Parser (MSXML) で誤ってキャッシュされた資格情報が使用される
269238 Microsoft XML パーサーのバージョン一覧
278674 コンピュータにインストールされた MSXML パーサーのバージョンを判別する
この資料に記載されている企業、組織、製品、ドメイン名、電子メール アドレス、ロゴ、人物、場所、およびイベントの例は架空のものです。実在の企業、組織、製品、ドメイン名、電子メール アドレス、ロゴ、人物、場所、またはイベントとの関連を示唆するものではありません。

関連情報

この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 832414 (最終更新日 2005-01-04) を基に作成したものです。

この資料に含まれているサンプル コード/プログラムは英語版を前提に書かれたものをありのままに記述しており、日本語環境での動作は確認されておりません。

プロパティ

文書番号: 832414 - 最終更新日: 2006年3月24日 - リビジョン: 11.1
この資料は以下の製品について記述したものです。
  • Microsoft XML Parser 2.6
  • Microsoft XML Parser 3.0
  • Microsoft XML Core Services 4.0
キーワード:?
kbbug kbfix kbsecvulnerability kbqfe kbsecurity kbsecbulletin kbhotfixserver KB832414
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com