Internet Explorer 不支援網站位址 (HTTP 或 HTTPS URL) 中的使用者名稱和密碼

文章編號: 834489 - 檢視此文章適用的產品。

對於未安裝任何 Service Pack 的 Windows Vista 支援將於 2010 年 4 月 13 日停止。如果要繼續收到 Windows 的安全性更新,請確定您執行的是 Windows Vista Service Pack 2 (SP2)。如需詳細資訊,請參閱此 Microsoft 網頁:已結束針對部分 Windows 版本的支援
(http://windows.microsoft.com/zh-tw/windows/help/end-support-windows-xp-sp2-windows-vista-without-service-packs?os=xp)

全部展開 | 全部摺疊

在此頁中

本文主要是為告知網站管理員和 IT 專業人員有關網站位址 (HTTP 或 HTTPS URL) 中包含使用者資訊時 Internet Explorer 的行為而提供。
回此頁最上方 | 提供意見

結論

根據預設,從安全性更新 832894 以後開始發行的 Windows Internet Explorer 版本,不支援處理 HTTP 和使用 Secure Sockets Layer (SSL) 的 HTTP 或 HTTPS URL 中的使用者名稱和密碼。Internet Explorer 或 Windows Explorer 不支援下列 URL 語法:
http(s)://username:username@server/resource.ext
本文件的目的是要通知您 Internet Explorer 的這項預設行為。如果您在 HTTP 或 HTTPS URL 中包含使用者資訊,建議您看看本文所述的解決方法。如需有關 832894 安全性更新的詳細資訊,請造訪下列 Microsoft 網站:
http://www.microsoft.com/taiwan/technet/security/bulletin/MS04-004.mspx
(http://www.microsoft.com/taiwan/technet/security/bulletin/MS04-004.mspx)
回此頁最上方 | 提供意見

其他相關資訊

背景資訊

Internet Explorer 3.0 至 6.0 版支援 HTTP 或 HTTPS URL 的下列語法:
http(s)://username:password@server/resource.ext
您可以使用此 URL 語法,將使用者資訊自動傳送至支援基本驗證方法的網站。

惡意使用者可能也會使用這種 URL 語法建立超連結,藉此開啟看似合法但其實為非法 (詐騙) 的網站。例如,下列 URL 好像是要開啟 http://www.wingtiptoys.com,但實際上卻是開啟 http://example.com:
http://www.wingtiptoys.com@example.com
注意在此情況下,適用於 Microsoft Windows Server 2003 的 Internet Explorer 6 Service Pack 1 (SP1) 和 Internet Explorer 6 只會在網址列中顯示「http://example.com」。然而,舊版的 Internet Explorer 會在網址列顯示 "http://www.wingtiptoys.com@example.com"。

此外,惡意使用者可以使用這種 URL 語法,配合其他方法來建立非法 (詐騙) 網站的連結,而且該連結在所有版本 Internet Explorer 的狀態列、網址列和標題列中,顯示為合法網站的 URL。

如需有關這個問題的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
833786
(http://support.microsoft.com/kb/833786/zh-tw/ )
有助於識別並避免受到詐欺 (詐騙) 網站和惡意超連結傷害的步驟

預設行為變更的說明

為減輕<背景資訊>一節中所討論的問題,Internet Explorer 和 Windows Explorer 不再支援處理這類形式的 HTTP 和 HTTPS URL 。Windows Explorer 和 Internet Explorer 不會使用含有使用者資訊的 URL 來開啟 HTTP 或 HTTPS 網站。根據預設,如果 HTTP 或 HTTPS URL 包含使用者資訊,便會出現具有下列標題的網頁:
無效的語法錯誤
注意 預設行為的此項變更並不會影響其他通訊協定。例如,安裝 832894 安全性更新之後,FTP URL 內仍可以包含使用者資訊。

安全性更新、Service Pack 以及從安全性更新 832894 以後開始發行的 Internet Explorer 版本也會實作這種預設行為變更。
回此頁最上方 | 提供意見

使用者的因應措施

使用者在網址列輸入 URL 或是按一下連結後所開啟的 URL

由於使用者通常會在網址列輸入包含使用者資訊的 HTTP 或 HTTPS URL,或是按一下在 HTTP 或 HTTPS URL 包含使用者資訊的連結,您可以藉由以上這兩種方式,解決這項新功能的問題:
  • 請勿在 HTTP 或 HTTPS URL 中包含使用者資訊。
  • 指示使用者在輸入 HTTP 或 HTTPS URL 時,不要包含他們的使用者資訊。
如果網站使用基本驗證方法,Internet Explorer 會自動提示使用者輸入使用者名稱和密碼。在某些情況下,使用者可以按一下對話方塊中的 [記住我的密碼] 方塊,將憑證儲存起來,供稍後造訪該網站時使用。

適用於應用程式和網站開發人員的因應措施

由物件所開啟、可呼叫 WinInet 或 Urlmon 函式的 URL

如果物件在呼叫 WinInet 或 Urlmon 函式,例如 InternetOpenURL 時,所使用的 HTTP 或 HTTPS URL 包含使用者資訊,請重新撰寫該物件,以使用下列其中一種方法,將使用者資訊傳送至網站: 注意 使用這個解決方法,您可以開啟 URL 詐騙技術重新導向的網站。出現全部的 URL,包含重新導向位置。例如,出現下列 URL:
http://www.wingtiptoys.com@www.example.com
使用者仍到達重新導向的網站。在此範例中,使用者會來到 http://www.example.com。

藉由使用憑證來進行狀態管理的指令碼所開啟的 URL

如果您藉由在指令碼程式碼中納入包含使用者資訊的 HTTP 或 HTTPS URL 來管理狀態資訊,請變更指令碼程式碼,以 Cookie 來取代使用者資訊。如需有關如何使用 Cookies 來管理狀態資訊的詳細資訊,請造訪下列網際網路工程任務推動小組 (IETF) 網站:
http://www.ietf.org/rfc/rfc2965.txt
(http://www.ietf.org/rfc/rfc2965.txt)
如果要查看相關範例,瞭解如何在 ASP.NET Web 程式中,使用 Visual Basic 來讀取和撰寫 HTTP Cookie,請造訪下列 Microsoft 網站:
http://msdn2.microsoft.com/en-us/library/aa289495(VS.71).aspx
(http://msdn2.microsoft.com/en-us/library/aa289495(VS.71).aspx)

如何停用這項新行為,或是在其他程式中使用這項新行為

您可以設定登錄值,在主控網頁瀏覽器控制項的其他程式中使用這項新行為,或是停用 Windows Explorer 和 Internet Explorer 的這項新行為。
回此頁最上方 | 提供意見

主控網頁瀏覽器控制項的程式如何能使用這項新的預設行為,來處理 HTTP 或 HTTPS URL 中的使用者資訊

根據預設,這項可處理 HTTP 或 HTTPS URL 中使用者資訊的新預設行為,只適用於 Windows Explorer 和 Internet Explorer。如果要在具有 Web 瀏覽器控制項的其他程式中使用這個新行為,請建立名為 SampleApp.exe 的 DWORD 值,其中 SampleApp.exe 是執行該程式的可執行檔名稱。在下列其中一個登錄機碼中,將 DWORD 值的數值資料設定為 1
  • 針對程式的所有使用者,在下列登錄機碼中設定其值:
  • 僅針對程式的目前使用者,在下列登錄機碼中設定其值:

如何停用在 HTTP 或 HTTPS URL 中處理使用者資訊的新行為

如果要我們為您在 Windows Explorer 和 Internet Explorer 停用這項新的預設行為,請前往<為我修正此問題>一節。如果您想要自行修正此問題,請前往<讓我自行修正此問題>一節。

為我修正此問題



如果要自動修正此問題,請按一下 修正此問題] 按鈕或連結,然後在 [檔案下載] 對話方塊中按一下 [執行],並依照「Fix it 精靈」中的步驟執行。




修正此問題
Microsoft Fix it 50642

注意事項
  • 自動修正程式會為程式的所有使用者,停用 Windows Explorer 和 Internet Explorer 中的這項新預設行為。
  • 此精靈可能只提供英文版本。不過,自動修正程式也適用於 Windows 的其他語言版本。
  • 如果您不在發生問題的電腦上,則可將 Fix it 解決方案儲存至快閃磁碟機或 CD,然後在發生問題的電腦上執行。

然後請前往<這樣是否已修正問題?>一節。



讓我自行修正此問題

如果要在 Windows Explorer 和 Internet Explorer 中停用新的預設行為,請在下列其中一個登錄機碼中建立 iexplore.exeexplorer.exe DWORD 值,並將其數值資料設定為 0
  • 針對程式的所有使用者,在下列登錄機碼中設定其值:
  • 請僅針對程式目前的使用者,在下列登錄機碼中設定其值:
    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE

這樣是否已修正問題?

  • 檢查該問題是否已修正。如果問題已修正,您便已完成本節。如果問題尚未修正,則請連絡技術支援服務
    (http://support.microsoft.com/contactus?ln=zh-tw#tab3)
  • 我們非常感謝您提供意見反應。如果要提供意見反應,或報告此解決方案的任何問題,請在「為我修正此問題
    (http://blogs.technet.com/fixit4me/)
    」部落格 中留下您的意見,或者傳送電子郵件
    (mailto:fixit4me@microsoft.com?Subject=KB)
    給我們。
回此頁最上方 | 提供意見

?考

如需 HTTP 或 HTTPS URL 的標準 URL 語法說明,請造訪下列「網際網路工程任務推動小組」(IETF) 網站:
RFC 1738:統一資源定位器 (URL)
http://www.ietf.org/rfc/rfc1738.txt
(http://www.ietf.org/rfc/rfc1738.txt)


RFC 2396:統一資源識別項 (URI):一般語法
http://www.ietf.org/rfc/rfc2396.txt
(http://www.ietf.org/rfc/rfc2396.txt)


RFC 2616:超文字傳輸協定 - HTTP/1.1
http://www.ietf.org/rfc/rfc2616.txt
(http://www.ietf.org/rfc/rfc2616.txt)
Microsoft 提供協力廠商的連絡資訊,以協助您找出技術支援。此連絡資訊若有變更,恕不另行通知。Microsoft 不保證此協力廠商連絡資訊的準確性。
回此頁最上方 | 提供意見

屬性

文章編號: 834489 - 上次校閱: 2011年6月30日 - 版次: 2.0
這篇文章中的資訊適用於:
  • Windows Internet Explorer 8
  • Windows Internet Explorer 7
  • Microsoft Internet Explorer 6.0
  • Microsoft Internet Explorer 5.5
  • Microsoft Windows Server 2003 Service Pack 1
  • Microsoft Windows Server 2003 Service Pack 2
  • Windows Vista 商用入門版
  • Windows Vista 商用進階版
  • Windows Vista 家用入門版
  • Windows Vista 家用進階版
  • Windows Vista Starter
  • Windows Vista 旗艦版
關鍵字:?
kbresolve kbfixme kbmsifixme KB834489
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。
回此頁最上方 | 提供意見

提供意見

 
回此頁最上方回此頁最上方