Viktig!: Denne artikkelen inneholder informasjon som viser deg hvordan du bidrar til å redusere sikkerhetsinnstillingene eller hvordan du deaktiverer sikkerhetsfunksjoner på en datamaskin. Du kan gjøre disse endringene for å omgå et bestemt problem. Før du gjør disse endringene, anbefaler vi at du evaluerer risikoene som er knyttet til å implementere denne midlertidige løsningen i det bestemte miljøet. Hvis du implementerer denne midlertidige løsningen, må du utføre eventuelle nødvendige ytterligere trinn for å beskytte datamaskinen.
Symptomer
Når du har installert følgende sikkerhetsoppdateringer for SharePoint Server for september, kan det hende at noen webtjenestemetoder for nettdelsider blokkeres. I tillegg logges hendelseskodene «6loz1» eller «5mh3d» i Logger for SharePoint Unified Logging System (ULS).
Årsak
For å styrke sikkerheten til SharePoint ble forbedrede sikkerhetskontroller lagt til RenderWebPartForEdit-metoden for å blokkere kontroller som inneholder egenskaps traverseringstegnet "." i attributtene som standard. Dette kan føre til at eksisterende webtjenestemetoder for webdel-sider blokkeres.
Løsning
Obs!: De forhåndsdefinerte funksjonene og avhengighetene til SharePoint Server er avhengige av standardinnstillingene i web.config-filen. Hvis SharePoint Server ikke har noen egendefinert kode eller komponenter distribuert, bør det ikke være nødvendig å innføre endringer i web.config. Hvis du finner noen forhåndsdefinerte funksjoner som fremdeles påvirkes av standard web.config, kan du åpne en støtteforespørsel for oss for å undersøke og løse problemene.
Advarsel!: Standard SafeControls i SharePoints web.config-fil har gått gjennom en sikkerhetsgjennomgang og har fått sitt AllowPropertiesTraversal-attributt angitt basert på om de anses som trygge for bruk med et egenskaps traverseringstegn i attributtene. Brukere bør foreta en sikkerhetsgjennomgang før de angir flere AllowPropertiesTraversal-attributter til True for å sikre at de er trygge for bruk med et egenskaps traverseringstegn i attributtverdiene.
Hvis du vil omgå dette problemet, fjerner du blokkeringen av kontroller som er blokkert av sikkerhetskontrollene.
Se først etter hendelseskodene «6loz1» og «5mh3d» i SharePoint ULS-loggene. Disse hendelseskodene inneholder informasjon om hvilke kontroller som ble blokkert på grunn av at de hadde et traversert egenskapstegn «». i attributtverdien. Eksempler:
6loz1 Usikker kontroll=<TypeName>, <AssemblyName>, <AssemblyVersion>, <AssemblyLanguageSetting>, <AssemblyPublicKey> for å ha egenskaps traversert tegn i attributtverdi.
Deretter undersøker du den blokkerte kontrollen for å sikre at den er trygg med et egenskaps traverseringstegn i attributtverdien. Hvis det er trygt, kan du se etter <SafeControl-> for kontrollen i <Configuration/SharePoint/SafeControls> node i web.config-filen i webprogrammene, og legge til Attributtet AllowPropertiesTraversal="True" i den. Hvis du ikke finner <SafeControl-> for kontrollen i denne noden, legger du til et <SafeControl-> element for den med Attributtet AllowPropertiesTraversal="True" . Følgende er et eksempel:
<SafeControl
Assembly="CustomSolution.AssemblyName, Version=1.2.3.4,Culture=neutral, PublicKeyToken=11aa22bb33cc44dd"
Namespace="CustomSolution.AssemblyName.NameSpace"
TypeName="AffectedClass"
AllowRemoteDesigner="True" Safe="True" SafeAgainstScript="True" AllowPropertiesTraversal="True"/>
