Opprinnelig publiseringsdato: 9. desember 2025
KB-ID: 5074596
Denne artikkelen beskriver en endring som hovedsakelig påvirker bedriftsmiljøer eller IT-administrerte miljøer der PowerShell-skript brukes til automatisering og henting av nettinnhold. Folk å bruke enheter i personlige innstillinger eller hjemmeinnstillinger trenger vanligvis ikke å gjøre noe, da disse scenariene er uvanlige utenfor IT-administrerte miljøer.
|
Endre dato |
Endre beskrivelse |
|
20. desember 2025 |
|
Oppsummering
Windows PowerShell 5.1 viser nå en ledetekst for sikkerhetsbekreftelse når du bruker kommandoen Invoke-WebRequest til å hente nettsider uten spesielle parametere.
Sikkerhetsadvarsel: Risiko for kjøring av skript Invoke-WebRequest analyserer innholdet på nettsiden. Skriptkode på nettsiden kan kjøres når siden analyseres.
ANBEFALT HANDLING: Bruk bryteren -UseBasicParsing for å unngå kjøring av skriptkode.
Vil du fortsette?
Denne ledeteksten advarer om at skript på siden kan kjøre under analysering og anbefaler bruk av parameteren -UseBasicParsing for å unngå kjøring av skript. Brukere må velge å fortsette eller avbryte operasjonen. Denne endringen bidrar til å beskytte mot skadelig nettinnhold ved å kreve brukersamtykke før potensielt risikable handlinger.
PowerShells Invoke-WebRequest-kommando foretar en HTTP- eller HTTPS-forespørsel til en nettserver og returnerer resultatene. Denne artikkelen dokumenterer en herdingsendring der Windows PowerShell 5.1 med hensikt viser en sikkerhetsbekreftelsesledetekst når du bruker Invoke-WebRequest-kommandoen til å hente nettsider uten spesielle parametere. Denne virkemåten oppstår etter at støttede Windows-klienter og servere har installert Windows Oppdateringer utgitt 9. desember 2025. Hvis du vil ha mer informasjon, kan du se CVE-2025-54100.
Hva er endret?
-
Forrige virkemåte
-
Full Document Object Model (DOM)-analyse ved hjelp av Internet Explorer-komponenter (HTMLDocument Interface (mshtml)), som kan kjøre skript fra nedlastet innhold.
-
-
Ny virkemåte
-
Ledetekst for sikkerhetsbekreftelse: Når du har installert Windows-oppdateringene utgitt på eller etter 9. desember 2025, utløser kjøring av Invoke-WebRequest-kommandoen (også kjent som curl) i PowerShell 5.1 en sikkerhetsledetekst (når ingen spesiell parameter brukes). Ledeteksten vises i PowerShell-konsollen med en advarsel om skriptkjøringsrisiko. Dette betyr at PowerShell stanser midlertidig for å advare deg om at uten forholdsregler kan skriptinnholdet på nettsiden kjøres på systemet når det behandles. Hvis du trykker enter (eller velger Nei), avbrytes som standard operasjonen for sikkerhet. PowerShell viser en melding om at den ble avbrutt på grunn av sikkerhetshensyn, og foreslår at du kjører kommandoen på nytt ved hjelp av parameteren -UseBasicParsing for sikker behandling. Hvis du velger Ja, fortsetter PowerShell å analysere siden ved hjelp av den eldre metoden (fullstendig HTML-analyse), noe som betyr at den laster inn innholdet og eventuelle innebygde skript som det pleide. Hvis du velger Ja, betyr det at du godtar risikoen og tillater at kommandoen kjører som den gjorde før, mens du velger Nei (standard) stopper handlingen for å beskytte deg.
-
Interaktiv kontra skriptet bruk: Innføringen av denne ledeteksten påvirker hovedsakelig interaktiv bruk. I interaktive økter ser du advarselen og må svare. For automatiserte skript (ikke-interaktive scenarioer som planlagte oppgaver eller CI-datasamlebånd), kan denne ledeteksten føre til at skriptet henger mens du venter på inndata. For å unngå dette anbefaler vi at du oppdaterer slike skript for eksplisitt å bruke sikre parametere (se nedenfor), slik at de ikke krever manuell bekreftelse.
-
Utfør handling
De fleste PowerShell-skript og -kommandoer som bruker invoke-WebRequest-kommandoen, vil fortsette å fungere med liten eller ingen endring. Skript som bare laster ned innhold eller arbeider med svarteksten som tekst eller data, påvirkes ikke og krever ingen endringer.
Hvis du har skript som påvirkes av denne endringen, kan du bruke én av følgende fremgangsmåter.
For å hente innhold kreves det ingen handling hvis vanlig bruk av Invoke-WebRequest-kommandoen er å hente innhold (for eksempel laste ned filer eller lese statisk tekst), og du er ikke avhengig av avansert områdesamhandling eller HTML DOM-analyse. Den nye standardvirkemåten er sikrere – skript som er innebygd i nettinnhold, kjøres ikke uten din tillatelse, og dette er den anbefalte konfigurasjonen for de fleste scenarier.
For interaktiv bruk svarer du bare nei til den nye sikkerhetsledeteksten (eller trykker enter for å godta standardinnstillingen) og kjører kommandoen på nytt med parameteren -UseBasicParsing for å hente innholdet på en trygg måte. Dette vil unngå å kjøre skriptkoder på den hentede siden. Hvis du ofte henter nettinnhold interaktivt, bør du vurdere å bruke parameteren -UseBasicParsing som standard i kommandoene for å hoppe over ledeteksten helt og sikre maksimal sikkerhet.
For automatiserte skript eller planlagte oppgaver oppdaterer du dem til å inkludere parameteren -UseBasicParsing på Invoke-WebRequest-kall. Dette forhåndsvelger den sikre virkemåten slik at ledeteksten ikke vises, og skriptet fortsetter å kjøre uten avbrudd. Ved å gjøre dette sikrer du at automatiseringen kjører sømløst etter oppdateringen, samtidig som du drar nytte av den forbedrede sikkerheten.
-
For skript som kjører med alternativet -NoProfile: Hvis skriptet har mange forekomster av Invoke-WebRequest-kall, må du erklære $PSDefaultParameterValues['Invoke-WebRequest:UseBasicParsing'] = $true øverst i skriptet.
-
Når Invoke-WebRequest brukes med parameteren -UseBasicParsing , er det ikke mulig å analysere fullstendig dokumentobjektmodell (DOM) ved hjelp av Internet Explorer-komponenter (HTMLDocument Interface (mshtml)).
For skript eller automatisering som omhandler uklarert eller offentlig nettinnhold og krever behandling av HTML-strukturer eller skjemaer, bør du vurdere å refaktorere eller oppdatere dem for langsiktig sikkerhet. I stedet for å stole på at PowerShell analyserer og kjører potensielt farlige nettsideskript, kan du:
-
Bruk alternative analysemetoder eller biblioteker (behandle for eksempel nettsideinnholdet som ren tekst eller XML, ved hjelp av regex- eller XML/HTML-analysebiblioteker som ikke kjører skript).
-
Moderniser tilnærmingen din til nettsamhandlinger, kanskje ved å bruke nyere PowerShell Core (versjon 7.x eller nyere) som ikke er avhengig av Motoren i Internet Explorer og unngår kjøring av skript, eller ved hjelp av spesialiserte nettskrapeverktøy som håndterer innhold på en sikrere måte. Begrens avhengigheten av Internet Explorer–spesifikke funksjoner siden Internet Explorer er avskrevet. Planlegg å skrive om deler av skriptene som er avhengige av disse funksjonene, slik at de kan arbeide i et miljø der nettinnhold håndteres trygt.
-
Invoke-WebRequest i PowerShell Core (versjon 7.x eller nyere) støtter ikke DOM-analyse ved hjelp av Internet Explorer-komponenter. Standardanalysen henter trygt innholdet uten skriptutføring.
-
-
Målet med refaktorering er å oppnå nødvendig funksjonalitet uten å utsette deg for sikkerhetsrisikoer, og dermed omfavne de sikrere standardene som ble innført av denne endringen.
Hvis du har et spesifikt behov for å bruke invoke-WebRequest-kommandoens fullstendige HTML-analysefunksjoner (for eksempel samhandling med skjemafelt eller skraping av strukturerte data) og du stoler på kilden til nettinnholdet, kan du fortsatt fortsette med den eldre analysevirkemåten fra sak til sak. I interaktive økter betyr dette ganske enkelt at du velger Ja ved bekreftelsesledeteksten for å tillate at operasjonen fortsetter. Du vil motta en påminnelse om sikkerhetsrisikoen hver gang du gjør det. Å fortsette uten parameteren -UseBasicParsing bør begrenses til scenarioer der du stoler fullstendig på nettinnholdet (for eksempel interne nettprogrammer under din kontroll eller kjente sikre nettsteder).
Viktig!: Denne fremgangsmåten anbefales ikke for skript som kjører mot uklarert eller offentlig nettinnhold, fordi det gjeninnfører risikoen for stille skriptkjøring som denne oppdateringen er ment å redusere. For ikke-interaktiv automatisering er det heller ingen innebygd mekanisme for automatisk samtykke til ledeteksten, så det anbefales ikke å bruke fullstendig analyse i skript (i tillegg til å være risikabel). Bruk dette alternativet med måte og bare som et midlertidig mål.
Vanlige spørsmål
I de fleste tilfeller vil skript som laster ned filer eller henter nettinnhold som tekst, fortsatt fungere. Hvis du vil unngå ledeteksten, legger du til parameteren -UseBasicParsing.
Skript som bruker avansert HTML-analyse (for eksempel skjemaer eller DOM), kan henge eller sende rådata i stedet for strukturerte objekter. Du må bytte til grunnleggende analyse eller endre skriptet for å håndtere innhold på en annen måte.
Bruk alltid parameteren -UseBasicParsing med Invoke-WebRequest-kommandoen i PowerShell-skript for å sikre sikker, ikke-interaktiv kjøring.
Ja. Skript avhengig av eldre analyser må oppdateres for å kunne melde seg på eller refaktorere.
Endringen i PowerShell gjelder for både standardoppdateringer og oppdateringer av hurtigoppdateringer, noe som resulterer i den samme virkemåteendringen.
Ja. PowerShell 7 bruker allerede sikker analyse som standard.
Kontakt moduleiere for støtteplaner. Bruk påmelding midlertidig for klarert innhold under overføring.
Hvis du vil klargjøre for og validere denne endringen, anbefaler vi at du:
-
Identifiser skript ved hjelp av DOM-funksjoner.
-
Test automatisering med den nye standarden.
-
Begrens eldre valg til klarerte kilder.
-
Planlegg refaktorering for uklarert innhold.
