Интернет-Обозреватель не поддерживает имена пользователей и пароли в адресах веб-сайтов (URL-адреса HTTP или HTTPS).
Предупреждение
Устаревшее и не поддерживаемое классическое приложение Internet Explorer 11 было окончательно отключено путем обновления Microsoft Edge в некоторых версиях Windows 10. Дополнительные сведения см. в разделе Часто задаваемые вопросы о прекращении поддержки программы для настольных компьютеров Internet Explorer 11.
Эта статья предназначена для уведомления администраторов веб-сайтов и ИТ-специалистов о поведении интернет-Обозреватель при добавлении сведений о пользователе в адрес веб-сайта (URL-адрес HTTP или HTTPS).
Исходная версия продукта: Интернет-Обозреватель
Исходный номер базы знаний: 834489
Сводка
По умолчанию версии интернет-Обозреватель, выпущенные начиная с выпуска обновления для системы безопасности 832894, не поддерживают обработку имен пользователей и паролей в HTTP и HTTP с использованием SSL или URL-адресов HTTPS. Следующий синтаксис URL-адреса не поддерживается в Обозреватель Интернета или в Windows Обозреватель:
http(s)://username:password@server/resource.ext
Эта статья предназначена для уведомления об этом по умолчанию для интернет-Обозреватель. Если вы включаете сведения о пользователе в URL-адреса HTTP или HTTPS, рекомендуется изучить обходные пути, описанные в этой статье.
Базовые сведения
Интернет-Обозреватель версии 3.0–6.0 поддерживают следующий синтаксис ДЛЯ URL-адресов HTTP или HTTPS:
http(s)://username:password@server/resource.ext
Этот синтаксис URL-адреса можно использовать для автоматической отправки сведений о пользователе на веб-сайт, поддерживающий базовый метод проверки подлинности.
Злоумышленник может использовать этот синтаксис URL-адреса для создания гиперссылки, которая открывает допустимый веб-сайт, но фактически открывает обманчивый (подделанный) веб-сайт. Например, следующий URL-адрес открывается, http://www.wingtiptoys.com но фактически открывается http://example.com:
http://www.wingtiptoys.com@example.com
Примечание.
В этом случае Internet Обозреватель 6 с пакетом обновления 1 (SP1) и Internet Обозреватель 6 для Microsoft Windows Server 2003 отображаются http://example.com только в адресной строке. Однако более ранние версии Интернета Обозреватель отображаться http://www.wingtiptoys.com@example.com в адресной строке.
Кроме того, злоумышленники могут использовать этот синтаксис URL-адреса вместе с другими методами для создания ссылки на обманчивый (подделанный) веб-сайт, который отображает URL-адрес допустимого веб-сайта в строке состояния, адресной строке и строке заголовка всех версий интернет-Обозреватель. Для получения дополнительных сведений об этой проблеме щелкните номер статьи 833786 , чтобы защититься от обманчивых веб-сайтов и вредоносных гиперссылок.
Объяснение изменения в поведении по умолчанию
Чтобы устранить проблемы, которые рассматриваются в разделе Справочные сведения, интернет-Обозреватель и Windows Обозреватель больше не поддерживают обработку URL-адресов HTTP и HTTPS этой формы. Windows Обозреватель и Интернет-Обозреватель не открывают сайты HTTP или HTTPS с помощью URL-адреса, содержащего сведения о пользователе. По умолчанию, если сведения о пользователе включены в URL-адрес HTTP или HTTPS, появится веб-страница со следующим заголовком:
Недопустимая синтаксическая ошибка.
Примечание.
Это изменение поведения по умолчанию не влияет на другие протоколы.
Это изменение в поведении по умолчанию также реализуется обновлениями для системы безопасности, пакетами обновления и версиями Интернет-Обозреватель, выпущенными начиная с выпуска обновления для системы безопасности 832894.
Обходные решения для пользователей
URL-адреса, открытые пользователями, которые вводят URL-адрес в адресной строке или щелкают ссылку
Если пользователи обычно вводит URL-адреса HTTP или HTTPS, которые содержат сведения о пользователе в адресной строке, или щелкают ссылки, включающие сведения о пользователе в URL-адресах HTTP или HTTPS, вы можете обойти эту новую функцию в Интернет-Обозреватель двумя способами:
- Не включайте сведения о пользователе в URL-адреса HTTP или HTTPS.
- Попросите пользователей не включать сведения о пользователе при вводе URL-адресов HTTP или HTTPS.
Если веб-сайт использует базовый метод проверки подлинности, интернет-Обозреватель автоматически запрашивает у пользователей имя пользователя и пароль. В некоторых случаях пользователи могут щелкнуть поле Запомнить пароль в диалоговом окне, чтобы сохранить свои учетные данные для последующих посещений этого веб-сайта.
Обходные решения для разработчиков приложений и веб-сайтов
URL-адреса, открытые объектами, вызывающими функции WinInet или Urlmon
Для объектов, использующих HTTP или URL-адрес HTTPS, которые включают сведения о пользователе при вызове функции WinInet или Urlmon, например InternetOpenURL, перепишите объект, чтобы использовать один из следующих методов для отправки сведений о пользователе на веб-сайт:
- Используйте функцию InternetSetOption и включите следующие флаги параметров:
INTERNET_OPTION_USERNAMEINTERNET_OPTION_PASSWORD
Примечание.
Для этих флагов параметр InternetSetOption должен иметь дескриптор, возвращаемый функцией InternetConnect. Таким образом, если приложение использует функцию InternetOpenUrl, измените приложение на использование функций WinInet InternetConnect , HttpOpenRequest и HttpSendRequest.
Дополнительные сведения об использовании этих функций см. на следующих веб-сайтах Майкрософт:
Дополнительные сведения об использовании интерфейса IAuthenticate см. на следующем веб-сайте Майкрософт:
Примечание.
С помощью этого обходного решения можно открывать веб-сайты, которые перенаправляет метод спуфингом URL-адресов. Отобразится весь URL-адрес, включая перенаправленное расположение.
Например, появится следующий URL-адрес:
http://www.wingtiptoys.com@www.example.comПользователь по-прежнему приходит на перенаправленный веб-сайт. В этом примере пользователь прибывает в
http://www.example.com.- Используйте функцию InternetSetOption и включите следующие флаги параметров:
URL-адреса, открытые скриптом, который использует учетные данные для управления состоянием
Если в код скрипта включены URL-адреса HTTP или HTTPS, содержащие сведения о пользователе, для управления сведениями о состоянии измените код скрипта на использование файлов cookie вместо сведений о пользователе. Дополнительные сведения об использовании файлов cookie для управления сведениями о состоянии см. в разделе Механизм управления состоянием HTTP.
Пример использования Visual Basic для чтения и записи файлов cookie HTTP в веб-программе ASP.NET см. в разделе Класс HttpCookie.
Отключение нового поведения или его использование в других программах
Вы можете задать значения реестра, чтобы использовать это новое поведение в других программах, в которых размещен элемент управления веб-браузера, или отключить это новое поведение для Windows Обозреватель и Интернет-Обозреватель.
Как программы, в которых размещен элемент управления веб-браузера, могут использовать это новое поведение по умолчанию для обработки сведений о пользователе в HTTP или URL-адресах HTTPS
По умолчанию это новое поведение по умолчанию для обработки сведений о пользователе в URL-адресах HTTP или HTTPS применяется только к Обозреватель Windows и Интернету Обозреватель. Чтобы использовать это новое поведение в других программах, в которых размещен элемент управления веб-браузера, создайте значение DWORD с именемSampleApp.exe, где SampleApp.exe — это имя исполняемого файла, запускающего программу. Задайте для значения значения DWORD значение 1 в одном из следующих разделов реестра.
Для всех пользователей программы задайте значение в следующем разделе реестра:
HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLEТолько для текущего пользователя программы задайте значение в следующем разделе реестра:
HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE
Отключение нового поведения по умолчанию для обработки сведений о пользователе в URL-адресах HTTP или HTTPS
Чтобы отключить новое поведение по умолчанию в Windows Обозреватель и Интернет-Обозреватель, создайте iexplore.exe и explorer.exe значения DWORD в одном из следующих разделов реестра и задайте для них значение 0.
Для всех пользователей программы задайте значение в следующем разделе реестра:
HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLEТолько для текущего пользователя программы задайте значение в следующем разделе реестра:
HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE
Ссылки
Описание стандартного синтаксиса URL-адресов для URL-адресов HTTP или HTTPS см. на следующих веб-сайтах Целевой группы по разработке в Интернете (IETF):
- RFC 1738: универсальные указатели ресурсов (URL-адрес)
- RFC 2396: универсальные идентификаторы ресурсов (URI): универсальный синтаксис
- RFC 2616: протокол передачи гипертекста —HTTP/1.1
Контактные данные сторонних организаций предоставлены в этой статье с целью помочь пользователям получить необходимую техническую поддержку. Эти данные могут быть изменены без предварительного уведомления. Корпорация Майкрософт не дает гарантий относительно правильности приведенных контактных данных сторонних производителей.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по