Internet Explorer stöder inte användarnamn och lösenord i webbplatsadresser (HTTP- eller HTTPS-URL:er)

Den här artikeln är avsedd att meddela webbplatsadministratörer och IT-proffs om Internet Explorers beteende när användarinformation ingår i en webbplatsadress (HTTP- eller HTTPS-URL).

Ursprunglig produktversion: Internet Explorer
Ursprungligt KB-nummer: 834489

Sammanfattning

Som standard stöder versioner av Internet Explorer som släpptes från och med lanseringen av säkerhetsuppdateringen 832894 inte hantering av användarnamn och lösenord i HTTP och HTTP med Secure Sockets Layer (SSL) eller HTTPS-URL:er. Följande URL-syntax stöds inte i Internet Explorer eller i Utforskaren:

http(s)://username:password@server/resource.ext

Den här artikeln är avsedd att meddela dig om det här standardbeteendet för Internet Explorer. Om du inkluderar användarinformation i HTTP- eller HTTPS-URL:er rekommenderar vi att du utforskar de lösningar som beskrivs i den här artikeln.

Bakgrundsinformation

Internet Explorer-versionerna 3.0 till 6.0 stöder följande syntax för HTTP- eller HTTPS-URL:er:

http(s)://username:password@server/resource.ext

Du kan använda den här URL-syntaxen för att automatiskt skicka användarinformation till en webbplats som stöder den grundläggande autentiseringsmetoden.

En obehörig användare kan använda den här URL-syntaxen för att skapa en hyperlänk som verkar öppna en legitim webbplats, men som faktiskt öppnar en bedräglig (falsk) webbplats. Följande URL verkar till exempel vara öppen http://www.wingtiptoys.com men öppnas http://example.comfaktiskt :

http://www.wingtiptoys.com@example.com

Dessutom kan skadliga användare använda den här URL-syntaxen tillsammans med andra metoder för att skapa en länk till en bedräglig (förfalskad) webbplats som visar URL:en till en legitim webbplats i statusfältet, adressfältet och namnlisten i alla versioner av Internet Explorer. Om du vill ha mer information om det här problemet klickar du på artikelnumret 833786 för att skydda dig mot bedrägliga (falska) webbplatser och skadliga hyperlänkar.

Förklaring av ändringen i standardbeteendet

För att åtgärda de problem som beskrivs i avsnittet Bakgrundsinformation stöder Internet Explorer och Utforskaren inte längre hantering av HTTP- och HTTPS-URL:er i det här formuläret. Windows Explorer och Internet Explorer öppnar inte HTTP- eller HTTPS-webbplatser med hjälp av en URL som innehåller användarinformation. Om användarinformation ingår i en HTTP- eller HTTPS-URL visas som standard en webbsida med följande rubrik:

Ogiltigt syntaxfel.

Den här ändringen av standardbeteendet implementeras också av säkerhetsuppdateringar, service pack och versioner av Internet Explorer som släpptes från och med lanseringen av säkerhetsuppdateringen 832894.

Lösningar för användare

1. URL:er som öppnas av användare som skriver URL:en i adressfältet eller klickar på en länk

   Om användarna vanligtvis skriver HTTP- eller HTTPS-URL:er som innehåller användarinformation i adressfältet, eller klickar på länkar som innehåller användarinformation i HTTP- eller HTTPS-URL:er, kan du kringgå den här nya funktionen i Internet Explorer på två sätt:

   • Ta inte med användarinformation i HTTP- eller HTTPS-URL:er.
   • Instruera användarna att inte ta med sin användarinformation när de skriver HTTP- eller HTTPS-URL:er.

   Om webbplatsen använder den grundläggande autentiseringsmetoden uppmanar Internet Explorer automatiskt användarna att ange ett användarnamn och ett lösenord. I vissa fall kan användarna klicka på rutan Kom ihåg mitt lösenord i dialogrutan för att spara sina autentiseringsuppgifter för senare besök på webbplatsen.

Lösningar för program- och webbplatsutvecklare

1. URL:er som öppnas av objekt som anropar WinInet- eller Urlmon-funktioner

   För objekt som använder en HTTP- eller HTTPS-URL som innehåller användarinformation när de anropar en WinInet- eller Urlmon-funktion, till exempel InternetOpenURL, skriver du om objektet för att använda någon av följande metoder för att skicka användarinformation till webbplatsen:

   • Använd funktionen InternetSetOption och inkludera följande alternativflaggor:
     • INTERNET_OPTION_USERNAME
     • INTERNET_OPTION_PASSWORD

   Obs!

   För dessa flaggor måste alternativet InternetSetOption ha en referens som returneras av funktionen InternetConnect. Om programmet använder funktionen InternetOpenUrl ändrar du därför programmet till att använda funktionerna InternetConnect , HttpOpenRequest och HttpSendRequest WinInet.

   Mer information om hur du använder dessa funktioner finns på följande Microsoft-webbplatser:

   • InternetConnectA-funktion
   • Funktionen HttpOpenRequestA
   • Funktionen HttpSendRequestA

   Mer information om hur du använder IAuthenticate-gränssnittet finns på följande Microsoft-webbplats:

   • IAuthenticate-gränssnitt

   Obs!

   Med den här lösningen kan du öppna webbplatser som URL-förfalskningstekniken omdirigerar. Hela URL:en visas, inklusive den omdirigerade platsen.

   Följande URL visas till exempel:

   http://www.wingtiptoys.com@www.example.com

   Användaren kommer fortfarande till den omdirigerade webbplatsen. I det här exemplet anländer användaren till http://www.example.com.

2. URL:er som öppnas av ett skript som använder autentiseringsuppgifter för tillståndshantering

   Om du inkluderar HTTP- eller HTTPS-URL:er som innehåller användarinformation i skriptkoden ändrar du skriptkoden så att den använder cookies i stället för användarinformation. Mer information om hur du använder cookies för att hantera tillståndsinformation finns i HTTP State Management Mechanism (HTTP State Management Mechanism).

   Ett exempel på hur du använder Visual Basic för att läsa och skriva HTTP-cookies i ett ASP.NET webbprogram finns i HttpCookie-klass.

Så här inaktiverar du det nya beteendet eller använder det i andra program

Du kan ange registervärden för att använda det här nya beteendet i andra program som är värdar för webbläsarkontrollen eller för att inaktivera det nya beteendet för Utforskaren och Internet Explorer.

1. Hur program som är värdar för webbläsarkontrollen kan använda det här nya standardbeteendet för att hantera användarinformation i HTTP eller i HTTPS-URL:er

   Som standard gäller det här nya standardbeteendet för hantering av användarinformation i HTTP- eller HTTPS-URL:er endast För Windows Explorer och Internet Explorer. Om du vill använda det här nya beteendet i andra program som är värdar för webbläsarkontrollen skapar du ett DWORD-värde med namnet SampleApp.exe, där SampleApp.exe är namnet på den körbara fil som kör programmet. Ange DWORD-värdets värdedata till 1 i någon av följande registernycklar.

   • För alla programanvändare anger du värdet i följande registernyckel:

     HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE

   • För den aktuella användaren av programmet anger du värdet i följande registernyckel:

     HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE

2. Så här inaktiverar du det nya standardbeteendet för att hantera användarinformation i HTTP- eller HTTPS-URL:er

   Om du vill inaktivera det nya standardbeteendet i Utforskaren och Internet Explorer skapar duiexplore.exe och explorer.exe DWORD-värden i någon av följande registernycklar och anger deras värdedata till 0.

   • För alla programanvändare anger du värdet i följande registernyckel:

     HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE

   • För den aktuella användaren av programmet anger du värdet i följande registernyckel:

     HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE

Referenser

En förklaring av standard-URL-syntaxen för HTTP- eller HTTPS-URL:er finns på följande IETF-webbplatser (Internet Engineering Task Force):

• RFC 1738: Uniform Resource Locators (URL)
• RFC 2396: URI (Uniform Resource Identifiers): Allmän syntax
• RFC 2616: Hypertext Transfer Protocol--HTTP/1.1

Kontaktinformationen för andra företag i denna artikel kan hjälpa dig att hitta den tekniska support du behöver. Denna kontaktinformation kan ändras utan föregående meddelande. Microsoft garanterar inte att kontaktinformationen är korrekt.