ID do artigo: 832414 - Última revisão: segunda-feira, 29 de janeiro de 2007 - Revisão: 11.3

Chamadas XMLHTTP falham para URLs com credenciais de usuário incorporadas

Exibir os produtos aos quais esse artigo se aplica.
Dica do SistemaEste artigo aplica-se a um sistema operativo diferente do que está a utilizar. Foi desactivado o conteúdo do artigo, que pode não ser relevante para si.
Observação A atualização descrita neste artigo é substituída pela atualização descrita no seguinte artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):
887606  (http://support.microsoft.com/kb/887606/ ) O MSXML utiliza credenciais armazenadas em cache incorretamente
Expandir tudo | Recolher tudo

Sintomas

Ao fazer chamadas XMLHTTP com o seguintes formatos:
Xmlhttp.open("GET", 
"http://someone:mypass@www.northwindtraders.com/default.asp", 
 false, "", "");

Xmlhttp.open("GET",
"http://someone:mypass@www.northwindtraders.com/default.asp",
 false, "someone", "passwd");

Xmlhttp.open("GET",
 "http://www.northwindtraders.com/default.asp",
  false, "someone", "mypass");
Ocorre uma falha na chamada e a seguinte mensagem de erro é exibida:
Erro de sintaxe inválida
No entanto, a seguinte chamada tem êxito:
Xmlhttp.open("GET", "http://www.northwindtraders.com/default.asp", false, "", "");
Voltar para o início

Causa

A atualização de segurança do Microsoft Internet Explorer é descrito no seguinte artigo na Base de Dados de Conhecimento Microsoft que impede URLs com credenciais de usuário incorporadas (a página pode estar em inglês):
832894  (http://support.microsoft.com/kb/832894/ ) MS04-004: Atualização de segurança cumulativa para Internet Explorer
.
Voltar para o início

Mais Informações

Mesmo após aplicar a correção fornecida neste artigo, as chamadas XMLHTTP com URLs nos seguintes formatos continuam falhando.
Xmlhttp.open("GET", "http://someone:mypass@www.northwindtraders.com/default.asp",  false); 
Xmlhttp.open("GET", "http://someone:mypass@www.northwindtraders.com/default.asp",  false, "someone", "passwd");
É necessário aplicar a correção e também alterar a URL para o seguinte formato. 
Xmlhttp.open("GET", "http://www.northwindtraders.com/default.asp", false, "someone", "mypass");
Voltar para o início

Resolução

Uma correção que recebe suporte foi disponibilizada pela Microsoft. Essa correção somente habilitará a situação na qual as credenciais de usuário são passadas como parâmetros na chamada do método Open(). Esta correção não habilitará as situações nas quais as credenciais do usuário são inseridas na URL.

Observação Essa correção é somente para as seguintes versões do Microsoft XML Parser (MSXML):
  • Microsoft XML 2.6
  • Microsoft XML 3.0 Service Pack 2 (SP2)
  • Microsoft XML 3.0 Service Pack 3 (SP3)
  • Microsoft XML 3.0 Service Pack 4 (SP4)
  • Microsoft XML 4.0 Service Pack 2 (SP2)
Para obter informações adicionais sobre como obter os arquivos atualizados e para detalhes adicionais, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):
887606  (http://support.microsoft.com/kb/887606/ ) O MSXML utiliza credenciais armazenadas em cache incorretamente
Voltar para o início

Como Contornar

Como solução alternativa para esse problema, use o seguinte formato.
Xmlhttp.open("GET", "http://www.northwindtraders.com/default.asp", false, "", "");
Voltar para o início

Situação

A Microsoft confirmou que a situação na qual as credenciais do usuário são passadas como parâmetros na chamada do método Open() e não são inseridas na URL, é um problema nos produtos da Microsoft listados na seção "Aplica-se a".
Voltar para o início

Referências

Para obter informações adicionais, consulte o seguinte Boletim de Segurança da Microsoft (em inglês):
http://www.microsoft.com/technet/security/bulletin/MS04-004.mspx (http://www.microsoft.com/technet/security/bulletin/MS04-004.mspx)
Para obter informações adicionais, clique nos números abaixo para ler os artigos na Base de Dados de Conhecimento Microsoft (alguns artigos podem estar em inglês):
834489  (http://support.microsoft.com/kb/303528/ ) Foi disponibilizada uma atualização de segurança que modifica o comportamento padrão do Internet Explorer com relação ao tratamento de informações do usuário em URLs HTTP e HTTPS
887606  (http://support.microsoft.com/kb/887606/ ) O MSXML utiliza credenciais armazenadas em cache incorretamente
269238  (http://support.microsoft.com/kb/269238/ ) INFO: Lista de versões do analisador de XML da Microsoft
278674   (http://support.microsoft.com/kb/278674/ ) Determinar a versão do MSXML Parser instalada em um computador
Os exemplos de empresas, organizações, produtos, nomes de domínio, endereços de email, logotipo, pessoas, lugares e eventos citados aqui são fictícios. Não deve ser feita ou pressuposta nenhuma associação com qualquer empresa, organização, produto, nome de domínio, endereço de email , logotipo, pessoa, lugares ou eventos reais.
Voltar para o início
A informação contida neste artigo aplica-se a:
  • Microsoft XML Parser 2.6
  • Microsoft XML Parser 3.0
  • Microsoft XML Core Services 4.0
Voltar para o início
Palavras-chave: 
kbbug kbfix kbsecvulnerability kbqfe kbsecurity kbsecbulletin kbhotfixserver KB832414
Voltar para o início