Program Internet Explorer nie obsługuje nazw użytkowników i haseł w adresach witryny sieci Web (adresy URL HTTP lub HTTPS)
Ostrzeżenie
Wycofana, nieobsługiwana aplikacja klasyczna Internet Explorer 11 ma zostać trwale wyłączona za pośrednictwem aktualizacji aplikacji Microsoft Edge dla niektórych wersji systemu Windows 10. Aby uzyskać więcej informacji, zobacz artykuł pt. Często zadawane pytania dotyczące wycofywania aplikacji klasycznej Internet Explorer 11.
Ten artykuł ma na celu powiadamianie administratorów witryn sieci Web i specjalistów IT o zachowaniu programu Internet Explorer, gdy informacje o użytkowniku są zawarte w adresie witryny sieci Web (adres URL HTTP lub HTTPS).
Oryginalna wersja produktu: Internet Explorer
Oryginalny numer KB: 834489
Podsumowanie
Domyślnie wersje programu Internet Explorer, które zostały wydane począwszy od wydania aktualizacji zabezpieczeń 832894 nie obsługują obsługi nazw użytkowników i haseł w protokołach HTTP i HTTP przy użyciu protokołu Secure Sockets Layer (SSL) lub adresów URL HTTPS. Następująca składnia adresu URL nie jest obsługiwana w programie Internet Explorer ani w Eksploratorze Windows:
http(s)://username:password@server/resource.ext
Ten artykuł ma na celu powiadomienie Użytkownika o tym domyślnym zachowaniu programu Internet Explorer. Jeśli uwzględnisz informacje o użytkowniku w adresach URL HTTP lub HTTPS, zalecamy zapoznanie się z obejściami opisanymi w tym artykule.
Informacje podstawowe
Program Internet Explorer w wersji od 3.0 do 6.0 obsługuje następującą składnię adresów URL HTTP lub HTTPS:
http(s)://username:password@server/resource.ext
Ta składnia adresu URL umożliwia automatyczne wysyłanie informacji o użytkowniku do witryny sieci Web, która obsługuje podstawową metodę uwierzytelniania.
Złośliwy użytkownik może użyć tej składni adresu URL do utworzenia hiperłącza, które wydaje się otwierać legalną witrynę sieci Web, ale faktycznie otwiera zwodniczą (sfałszowaną) witrynę sieci Web. Na przykład następujący adres URL wydaje się otwierać http://www.wingtiptoys.com , ale faktycznie otwiera http://example.com:
http://www.wingtiptoys.com@example.com
Uwaga
W takim przypadku program Internet Explorer 6 z dodatkiem Service Pack 1 (SP1) i Program Internet Explorer 6 dla systemu Microsoft Windows Server 2003 są wyświetlane http://example.com tylko na pasku adresu. Jednak wcześniejsze wersje programu Internet Explorer są wyświetlane http://www.wingtiptoys.com@example.com na pasku adresu.
Ponadto złośliwi użytkownicy mogą używać tej składni adresu URL wraz z innymi metodami, aby utworzyć link do zwodniczej (sfałszowanej) witryny sieci Web, która wyświetla adres URL legalnej witryny sieci Web na pasku stanu, pasku adresu i pasku tytułu wszystkich wersji programu Internet Explorer. Aby uzyskać więcej informacji na temat tego problemu, kliknij numer artykułu 833786 , aby chronić się przed fałszywymi witrynami sieci Web i złośliwymi hiperlinkami.
Wyjaśnienie zmiany domyślnego zachowania
Aby rozwiązać problemy omówione w sekcji Informacje o tle , program Internet Explorer i Eksplorator Windows nie obsługują już obsługi adresów URL HTTP i HTTPS tego formularza. Programy Windows Explorer i Internet Explorer nie otwierają witryn HTTP ani HTTPS przy użyciu adresu URL zawierającego informacje o użytkowniku. Domyślnie, jeśli informacje o użytkowniku są zawarte w adresie HTTP lub adresie URL HTTPS, zostanie wyświetlona strona sieci Web z następującym tytułem:
Nieprawidłowy błąd składni.
Uwaga
Ta zmiana domyślnego zachowania nie ma wpływu na inne protokoły.
Ta zmiana domyślnego zachowania jest również implementowana przez aktualizacje zabezpieczeń, dodatki Service Pack i wersje programu Internet Explorer, które zostały wydane począwszy od wydania aktualizacji zabezpieczeń 832894.
Obejścia dla użytkowników
Adresy URL otwierane przez użytkowników, którzy wpisują adres URL na pasku adresu lub klikają link
Jeśli użytkownicy zazwyczaj wpisują adresy URL HTTP lub HTTPS, które zawierają informacje o użytkowniku na pasku adresu, lub klikają linki, które zawierają informacje o użytkowniku w adresach URL HTTP lub HTTPS, możesz obejść tę nową funkcję w programie Internet Explorer na dwa sposoby:
- Nie uwzględniaj informacji o użytkowniku w adresach URL HTTP lub HTTPS.
- Poinstruuj użytkowników, aby nie dołączali informacji o użytkownikach podczas wpisywania adresów URL HTTP lub HTTPS.
Jeśli witryna sieci Web używa podstawowej metody uwierzytelniania, program Internet Explorer automatycznie monituje użytkowników o podanie nazwy użytkownika i hasła. W niektórych przypadkach użytkownicy mogą kliknąć pole Zapamiętaj moje hasło w oknie dialogowym, aby zapisać swoje poświadczenia na potrzeby późniejszych wizyt w tej witrynie sieci Web.
Obejścia dla deweloperów aplikacji i witryn sieci Web
Adresy URL otwierane przez obiekty wywołujące funkcje WinInet lub Urlmon
W przypadku obiektów korzystających z adresu HTTP lub adresu URL HTTPS zawierającego informacje o użytkowniku podczas wywoływania funkcji WinInet lub Urlmon, takiej jak InternetOpenURL, ponownie zapisz obiekt, aby użyć jednej z następujących metod wysyłania informacji o użytkowniku do witryny sieci Web:
- Użyj funkcji InternetSetOption i dołącz następujące flagi opcji:
INTERNET_OPTION_USERNAMEINTERNET_OPTION_PASSWORD
Uwaga
W przypadku tych flag opcja InternetSetOption musi mieć dojście zwrócone przez funkcję InternetConnect. Dlatego jeśli aplikacja używa funkcji InternetOpenUrl, zmodyfikuj aplikację tak, aby używała funkcji WinInet InternetConnect, HttpOpenRequest i HttpSendRequest.
Aby uzyskać więcej informacji na temat korzystania z tych funkcji, odwiedź następujące witryny sieci Web firmy Microsoft:
Aby uzyskać więcej informacji na temat korzystania z interfejsu IAuthenticate , odwiedź następującą witrynę internetową firmy Microsoft:
Uwaga
Dzięki temu obejście można otworzyć witryny sieci Web, które przekierowuje technika fałszowania adresów URL. Zostanie wyświetlony cały adres URL, w tym przekierowana lokalizacja.
Na przykład zostanie wyświetlony następujący adres URL:
http://www.wingtiptoys.com@www.example.comUżytkownik nadal dociera do przekierowanych witryn sieci Web. W tym przykładzie użytkownik dociera do
http://www.example.com.- Użyj funkcji InternetSetOption i dołącz następujące flagi opcji:
Adresy URL otwierane przez skrypt, który używa poświadczeń do zarządzania stanem
Jeśli uwzględnisz adresy URL HTTP lub HTTPS zawierające informacje o użytkowniku w kodzie skryptowym, aby zarządzać informacjami o stanie, zmień kod skryptowy, aby używał plików cookie zamiast informacji o użytkowniku. Aby uzyskać więcej informacji na temat sposobu używania plików cookie do zarządzania informacjami o stanie, zobacz Mechanizm zarządzania stanem HTTP.
Aby zapoznać się z przykładem używania języka Visual Basic do odczytywania i zapisywania plików cookie HTTP w programie sieci Web ASP.NET, zobacz Klasa HttpCookie.
Jak wyłączyć nowe zachowanie lub użyć go w innych programach
Wartości rejestru można ustawić tak, aby używały tego nowego zachowania w innych programach, które hostują kontrolkę przeglądarki sieci Web, lub aby wyłączyć to nowe zachowanie w programach Windows Explorer i Internet Explorer.
Jak programy hostujące kontrolkę przeglądarki sieci Web mogą używać tego nowego domyślnego zachowania do obsługi informacji o użytkowniku w adresie HTTP lub w adresach URL HTTPS
Domyślnie to nowe domyślne zachowanie w przypadku obsługi informacji o użytkowniku w adresach URL HTTP lub HTTPS ma zastosowanie tylko do Eksploratora Windows i programu Internet Explorer. Aby użyć tego nowego zachowania w innych programach, które hostują kontrolkę przeglądarki sieci Web, utwórz wartość DWORD o nazwie SampleApp.exe, gdzie SampleApp.exe jest nazwą pliku wykonywalnego, który uruchamia program. Ustaw wartość wartości DWORD na wartość 1 w jednym z następujących kluczy rejestru.
Dla wszystkich użytkowników programu ustaw wartość w następującym kluczu rejestru:
HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLEDla bieżącego użytkownika programu ustaw wartość w następującym kluczu rejestru:
HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE
Jak wyłączyć nowe zachowanie domyślne do obsługi informacji o użytkowniku w adresach URL HTTP lub HTTPS
Aby wyłączyć nowe zachowanie domyślne w programach Windows Explorer i Internet Explorer, utwórz iexplore.exe i explorer.exe wartości DWORD w jednym z następujących kluczy rejestru i ustaw ich dane wartości na 0.
Dla wszystkich użytkowników programu ustaw wartość w następującym kluczu rejestru:
HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLEDla bieżącego użytkownika programu ustaw wartość w następującym kluczu rejestru:
HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE
Informacje
Aby uzyskać wyjaśnienie standardowej składni adresów URL dla adresów URL HTTP lub HTTPS, odwiedź następujące witryny internetowe internetowej grupy zadań inżynierów (IETF):
- RFC 1738: Uniform Resource Locators (URL)
- RFC 2396: Uniform Resource Identifiers (URI): Generic Syntax
- RFC 2616: Protokół transferu hipertekstu — HTTP/1.1
Firma Microsoft udostępnia informacje dotyczące sposobów kontaktowania się z innymi firmami, aby ułatwić uzyskanie niezbędnej pomocy technicznej. Informacje te mogą zostać zmienione bez powiadomienia. Firma Microsoft nie gwarantuje dokładności informacji dotyczących innych firm.
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla