Chamadas XMLHTTP falham para URLs com credenciais de usuário incorporadas

Traduções deste artigo Traduções deste artigo
ID do artigo: 832414 - Exibir os produtos aos quais esse artigo se aplica.
Observação A atualização descrita neste artigo é substituída pela atualização descrita no seguinte artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):
887606 O MSXML utiliza credenciais armazenadas em cache incorretamente
Expandir tudo | Recolher tudo

Sintomas

Ao fazer chamadas XMLHTTP com o seguintes formatos:
Xmlhttp.open("GET", 
"http://someone:mypass@www.northwindtraders.com/default.asp", 
 false, "", "");
Xmlhttp.open("GET",
"http://someone:mypass@www.northwindtraders.com/default.asp",
 false, "someone", "passwd");
Xmlhttp.open("GET",
 "http://www.northwindtraders.com/default.asp",
  false, "someone", "mypass");
Ocorre uma falha na chamada e a seguinte mensagem de erro é exibida:
Erro de sintaxe inválida
No entanto, a seguinte chamada tem êxito:
Xmlhttp.open("GET", "http://www.northwindtraders.com/default.asp", false, "", "");

Causa

A atualização de segurança do Microsoft Internet Explorer é descrito no seguinte artigo na Base de Dados de Conhecimento Microsoft que impede URLs com credenciais de usuário incorporadas (a página pode estar em inglês):
832894 MS04-004: Atualização de segurança cumulativa para Internet Explorer
.

Mais Informações

Mesmo após aplicar a correção fornecida neste artigo, as chamadas XMLHTTP com URLs nos seguintes formatos continuam falhando.
Xmlhttp.open("GET", "http://someone:mypass@www.northwindtraders.com/default.asp",  false); 
Xmlhttp.open("GET", "http://someone:mypass@www.northwindtraders.com/default.asp",  false, "someone", "passwd"); 
É necessário aplicar a correção e também alterar a URL para o seguinte formato.
Xmlhttp.open("GET", "http://www.northwindtraders.com/default.asp", false, "someone", "mypass");

Resolução

Uma correção que recebe suporte foi disponibilizada pela Microsoft. Essa correção somente habilitará a situação na qual as credenciais de usuário são passadas como parâmetros na chamada do método Open(). Esta correção não habilitará as situações nas quais as credenciais do usuário são inseridas na URL.

Observação Essa correção é somente para as seguintes versões do Microsoft XML Parser (MSXML):
  • Microsoft XML 2.6
  • Microsoft XML 3.0 Service Pack 2 (SP2)
  • Microsoft XML 3.0 Service Pack 3 (SP3)
  • Microsoft XML 3.0 Service Pack 4 (SP4)
  • Microsoft XML 4.0 Service Pack 2 (SP2)
Para obter informações adicionais sobre como obter os arquivos atualizados e para detalhes adicionais, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):
887606 O MSXML utiliza credenciais armazenadas em cache incorretamente

Como Contornar

Como solução alternativa para esse problema, use o seguinte formato.
Xmlhttp.open("GET", "http://www.northwindtraders.com/default.asp", false, "", "");

Situação

A Microsoft confirmou que a situação na qual as credenciais do usuário são passadas como parâmetros na chamada do método Open() e não são inseridas na URL, é um problema nos produtos da Microsoft listados na seção "Aplica-se a".

Referências

Para obter informações adicionais, consulte o seguinte Boletim de Segurança da Microsoft (em inglês):
http://www.microsoft.com/technet/security/bulletin/MS04-004.mspx
Para obter informações adicionais, clique nos números abaixo para ler os artigos na Base de Dados de Conhecimento Microsoft (alguns artigos podem estar em inglês):
834489 Foi disponibilizada uma atualização de segurança que modifica o comportamento padrão do Internet Explorer com relação ao tratamento de informações do usuário em URLs HTTP e HTTPS
887606 O MSXML utiliza credenciais armazenadas em cache incorretamente
269238 INFO: Lista de versões do analisador de XML da Microsoft
278674 Determinar a versão do MSXML Parser instalada em um computador
Os exemplos de empresas, organizações, produtos, nomes de domínio, endereços de email, logotipo, pessoas, lugares e eventos citados aqui são fictícios. Não deve ser feita ou pressuposta nenhuma associação com qualquer empresa, organização, produto, nome de domínio, endereço de email , logotipo, pessoa, lugares ou eventos reais.

Propriedades

ID do artigo: 832414 - Última revisão: segunda-feira, 29 de janeiro de 2007 - Revisão: 11.3
A informação contida neste artigo aplica-se a:
  • Microsoft XML Parser 2.6
  • Microsoft XML Parser 3.0
  • Microsoft XML Core Services 4.0
Palavras-chave: 
kbbug kbfix kbsecvulnerability kbqfe kbsecurity kbsecbulletin kbhotfixserver KB832414

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com