現在オフラインです。再接続するためにインターネットの接続を待っています

ユーザー資格情報が埋め込まれた URL を指定すると XMLHTTP の呼び出しでエラーが発生する

: この資料に記載されている更新プログラムは、以下の「サポート技術情報」 (Microsoft Knowledge Base) の資料に記載されている更新プログラムに置き換えられます。
887606 [FIX] Microsoft XML Parser (MSXML) で誤ってキャッシュされた資格情報が使用される
現象
以下のような形式の XMLHTTP 呼び出しを実行すると、問題が発生します。
Xmlhttp.open("GET", "http://someone:mypass@www.northwindtraders.com/default.asp",  false, "", "");
Xmlhttp.open("GET","http://someone:mypass@www.northwindtraders.com/default.asp", false, "someone", "passwd");
Xmlhttp.open("GET", "http://www.northwindtraders.com/default.asp",  false, "someone", "mypass");
この場合、呼び出しは失敗し、次のエラー メッセージが表示されます。
エラー: 構文が無効です
しかし、以下の呼び出しは成功します。
Xmlhttp.open("GET", "http://www.northwindtraders.com/default.asp", false, "", "");
原因
以下の「サポート技術情報」 (Microsoft Knowledge Base) の資料に記載されている Microsoft Internet Explorer 用のセキュリティ更新プログラムが適用されている場合、ユーザーの資格情報が埋め込まれた URL は禁止されます。
832894 [MS04-004] Internet Explorer 用の累積的なセキュリティ修正プログラム
詳細
この資料の「解決方法」に記載されている修正プログラムを適用した後でも、XMLHTTP を以下の形式の URL で呼び出すと、引き続きエラーが発生します。
Xmlhttp.open("GET","http://someone:mypass@www.northwindtraders.com/default.asp", false);
Xmlhttp.open("GET","http://someone:mypass@www.northwindtraders.com/default.asp", false, "someone", "passwd");
修正プログラムを適用した後、URL を次の形式に変更する必要があります。
Xmlhttp.open("GET", "http://www.northwindtraders.com/default.asp", false, "someone", "mypass");
解決方法
マイクロソフトでは、サポートの対象となる修正プログラムを提供しています。この修正プログラムは、Open() メソッドの呼び出しで、パラメータとしてユーザーの資格情報を渡す場合にのみ有効です。URL にユーザーの資格情報を埋め込む場合には、この修正プログラムは有効ではありません。

: この修正プログラムは以下のバージョンの Microsoft XML Parser (MSXML) にのみ適用できます。
  • Microsoft XML 2.6
  • Microsoft XML 3.0 Service Pack 2
  • Microsoft XML 3.0 Service Pack 3
  • Microsoft XML 3.0 Service Pack 4
  • Microsoft XML 4.0 Service Pack 2
更新済みのファイルの入手方法および関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
887606 [FIX] Microsoft XML Parser (MSXML) で誤ってキャッシュされた資格情報が使用される
回避策
この問題を回避するには、次の形式を使用します。
Xmlhttp.open("GET", "http://www.northwindtraders.com/default.asp", false, "", "");
状況
マイクロソフトでは、ユーザーの資格情報を、URL に埋め込むのではなく、Open() メソッドの呼び出しでパラメータとして渡す場合についてのみ、この問題をこの資料の対象製品として記載されているマイクロソフト製品の問題として認識しています。
関連情報
関連情報については、次のマイクロソフト セキュリティ情報を参照してください。関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
834489 Internet Explorer で HTTP URL と HTTPS URL のユーザー情報を処理する際のデフォルトの動作を変更するセキュリティ更新プログラムの使用について
887606 [FIX] Microsoft XML Parser (MSXML) で誤ってキャッシュされた資格情報が使用される
269238 Microsoft XML パーサーのバージョン一覧
278674 コンピュータにインストールされた MSXML パーサーのバージョンを判別する
この資料に記載されている企業、組織、製品、ドメイン名、電子メール アドレス、ロゴ、人物、場所、およびイベントの例は架空のものです。実在の企業、組織、製品、ドメイン名、電子メール アドレス、ロゴ、人物、場所、またはイベントとの関連を示唆するものではありません。
関連情報
この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 832414 (最終更新日 2005-01-04) を基に作成したものです。

この資料に含まれているサンプル コード/プログラムは英語版を前提に書かれたものをありのままに記述しており、日本語環境での動作は確認されておりません。
プロパティ

文書番号:832414 - 最終更新日: 03/24/2006 09:09:00 - リビジョン: 11.1

Microsoft XML Parser 2.6, Microsoft XML Parser 3.0, Microsoft XML Core Services 4.0

  • kbbug kbfix kbsecvulnerability kbqfe kbsecurity kbsecbulletin kbhotfixserver KB832414
フィードバック