Datum izvirne objave: 9. december 2025
ID zbirke znanja: 5074596
V tem članku je opisana sprememba, ki vpliva predvsem na poslovna okolja ali okolja, ki jih upravlja IT, kjer se skripti PowerShell uporabljajo za avtomatizacijo in pridobivanje spletne vsebine. Ljudje naprav v osebnih ali domačih nastavitvah na splošno ni treba ukrepati, saj so ti scenariji neobičajni v okoljih, ki jih upravlja IT.
|
Spremeni datum |
Opis spremembe |
|
20. december 2025 |
|
Povzetek
Windows PowerShell 5.1 prikaže poziv za potrditev varnosti, ko z ukazom Invoke-WebRequest pridobite spletne strani brez posebnih parametrov.
Varnostno opozorilo: Tveganje izvajanja skripta Invoke-WebRequest razčleni vsebino spletne strani. Koda skripta na spletni strani se lahko zažene, ko je stran razčlenjena.
PRIPOROČENO DEJANJE: Uporabite stikalo -UseBasicParsing, da preprečite izvajanje skriptne kode.
Ali želite nadaljevati?
Ta poziv opozarja, da se skripti na strani lahko izvajajo med razčlenjevanjem in svetuje z uporabo parametra -UseBasicParsing, da se izognete izvajanju skripta. Uporabniki morajo nadaljevati ali preklicati operacijo. Ta sprememba ščiti pred zlonamerno spletno vsebino tako, da zahteva soglasje uporabnika pred morebitno tveganim dejanjem.
Ukaz »Invoke-WebRequest« ogrodja PowerShell spletnemu strežniku pošlje zahtevo HTTP ali HTTPS in vrne rezultate. V tem članku je dokument otečena sprememba, pri kateri Windows PowerShell 5.1 namerno prikaže poziv za potrditev varnosti, ko uporabite ukaz Invoke-WebRequest za pridobivanje spletnih strani brez posebnih parametrov. Do tega pride po tem, ko so podprti odjemalci in strežniki sistema Windows namestili Windows Posodobitve in po 9. decembru 2025. Če želite več informacij, glejte CVE-2025-54100.
Kaj se je spremenilo?
-
Prejšnje vedenje
-
Razčlenjevanje celotnega predmetnega modela dokumenta (DOM) s komponentami brskalnika Internet Explorer (vmesnik HTMLDocument Interface (mshtml)), ki lahko izvajajo skripte iz prenesene vsebine.
-
-
Novo vedenje
-
Poziv za potrditev varnosti: Po namestitvi posodobitev sistema Windows, izdanih 9. decembra 2025 ali po tem, ko zaženete ukaz Invoke-WebRequest (imenovan tudi curl) v ogrodju PowerShell 5.1, se sproži varnostni poziv (ko ni uporabljen noben poseben parameter). Poziv se prikaže v konzoli PowerShell z opozorilom o tveganju izvajanja skripta. To pomeni, da se PowerShell začasno opozarja, da se lahko vsebina skripta spletne strani brez varnostnih ukrepov izvede v vašem sistemu, ko je obdelana. Če pritisnete Enter (ali izberete Ne), bo operacija zaradi varnosti privzeto preklicana. PowerShell prikaže sporočilo, da je bilo preklicano zaradi varnostnih težav, in predlaga vnovično izvajanje ukaza s parametrom -UseBasicParsing za varno obdelavo. Če izberete Da, bo PowerShell stran razčlenil s starejšim načinom (popolno razčlenjevanje HTML-ja), kar pomeni, da bo naložila vsebino in morebitne vdelane skripte, kot je bilo uporabljeno. Če izberete » Da«, v bistvu to pomeni, da sprejemate tveganje in dovoljujete izvajanje ukaza tako, kot je bil prej. Če izberete » Ne« (privzeta nastavitev), se dejanje ustavi, da vas zaščiti.
-
Interaktivna v primerjavi s skriptno uporabo: Uvedba tega poziva primarno vpliva na interaktivno uporabo. V interaktivnih sejah boste videli opozorilo in se boste morali odzvati. Pri avtomatiziranih skriptih (neaktivnih scenarijih, kot so načrtovana opravila ali cevovodi CI), lahko ta poziv povzroči, da se skript med čakanjem na vnos preneha odzivati. Če se želite temu izogniti, priporočamo, da takšne skripte posodobite tako, da bodo izrecno uporabljali varne parametre (glejte spodaj), pri tem pa zagotoviti, da ne zahtevajo ročne potrditve.
-
Ukrepajte
Večina skriptov in ukazov ogrodja PowerShell, ki uporabljajo ukaz Invoke-WebRequest, bo še naprej delovala z malo spremembami ali brez njih. To na primer ne vpliva na skripte, ki prenesejo vsebino ali delujejo le s telom odziva, saj besedilo ali podatki niso potrebni in jih ni treba spreminjati.
Če imate skripte, na katere vpliva ta sprememba, uporabite enega od teh pristopov.
Za pridobivanje vsebine vam ni treba izvesti nobenega dejanja, če običajno uporabite ukaz Invoke-WebRequest za pridobivanje vsebine (na primer prenos datotek ali branje statičnega besedila) in ne temeljite na napredni interakciji na spletnem mestu ali razčlenjevanja HTML DOM. Novo privzeto vedenje je varnejše – skripti, vdelani v spletno vsebino, se ne bodo izvajali brez vašega dovoljenja – in to je priporočena konfiguracija v večini primerov.
Za interaktivno uporabo preprosto odgovorite ne na nov varnostni poziv (ali pritisnite Enter, da sprejmete privzeto) in znova zaženite ukaz s parametrom -UseBasicParsing, da varno pridobite vsebino. Tako boste preprečili izvajanje katere koli kode skripta na strani, ki jo pridobivate. Če pogosto dobivate interaktivno spletno vsebino, v ukazih privzeto uporabite parameter -UseBasicParsing, da v celoti preskočite poziv in zagotovite največjo varnost.
Za avtomatizirane skripte ali načrtovana opravila jih posodobite tako, da bodo vključevali parameter -UseBasicParsing pri klicih Invoke-WebRequest. S tem vnaprej izberete varno delovanje, tako da se poziv ne prikaže, skript pa se še naprej izvaja brez prekinitve. S tem zagotovite nemoteno delovanje avtomatizacije po posodobitvi, hkrati pa še vedno izkoriščate prednost izboljšane varnosti.
-
Za skripte, ki se izvajajo z možnostjo -NoProfile: Če ima skript veliko ponovitev klicev Invoke-WebRequest, declare $PSDefaultParameterValues['Invoke-WebRequest:UseBasicParsing'] = $true na vrhu skripta.
-
Pri uporabi invoke-WebRequest s parametrom -UseBasicParsing , razčlenjevanje celotnega predmetnega modela dokumenta (DOM) s komponentami brskalnika Internet Explorer (HTMLDocument Interface (mshtml)) ni mogoče.
Za skripte ali avtomatizacijo, ki se ukvarjajo z vsebino, ki ni zaupanja v skupni rabi, ali javno spletno vsebino in zahtevajo obdelavo struktur ali obrazcev HTML, priporočamo, da jih znova ustvarite ali posodobite zaradi dolgoročne varnosti. Namesto da se zanašate na PowerShell za razčlenitev in zagon morebitno nevarnih skriptov spletnih strani, lahko:
-
Uporabite nadomestne načine razčlenjenja ali knjižnice (vsebino spletne strani na primer obravnavajte kot navadno besedilo ali XML z uporabo regex ali knjižnic za razčlenjevanje XML/HTML, ki ne izvajajo skriptov).
-
Posodobite svoj pristop k spletnim interakcijam, morda z uporabo novejšega orodja PowerShell Core (različica 7.x ali novejša), ki ni odvisen od mehanizma brskalnika Internet Explorer in se izogne zagonu skriptov, ali s posebnimi orodji za odstranjevanje spletnih strani, ki bolj varno ravnajo z vsebino. Omejitev uporabe funkcij, ki so značilne za Internet Explorer, ker je Internet Explorer zastarel. Načrtujte vnovično pisanje delov skriptov, ki so odvisni od teh funkcij, da bodo lahko delovali v okolju, kjer bo spletna vsebina varno obravnavana.
-
Invoke-WebRequest v orodju PowerShell Core (različica 7.x ali novejša) ne podpira razčlenjev kasneje z uporabo komponent brskalnika Internet Explorer. Privzeto razčlenjevanje bo varno pridobival vsebino brez izvajanja skripta.
-
-
Cilj z vnovičnim deaktiviranjem je doseči potrebno funkcionalnost, ne da bi se izpostavljali varnostnim tveganjem, s čimer bi zajemali varnejše privzete nastavitve, uvedene s to spremembo.
Če morate uporabiti polno zmogljivost razčlenjevanja HTML ukaza Invoke-WebRequest (na primer interakcijo s polji obrazca ali odstranjevanje strukturiranih podatkov) in zaupate viru spletne vsebine, lahko kljub temu nadaljujete s podedovano razčlenjevanjem podatkov glede na vsak primer posebej. V interaktivnih sejah to preprosto pomeni, da v potrditvenem pozivu izberete Da, da omogočite nadaljevanje operacije. Vsakič, ko to naredite, boste prejeli opomnik o varnostnem tveganju. Nadaljevanje brez parametra -UseBasicParsing mora biti omejeno na scenarije, kjer popolnoma zaupate spletni vsebini (na primer notranje spletne aplikacije pod vašim nadzorom ali znanimi varnimi spletnimi mesti).
Pomembno: Ta pristop ni priporočen za skripte, ki se izvajajo proti vsebini, ki ni zaupanja v skupni rabi, ali javni spletni vsebini, ker ponovno uvede tveganje za izvajanje tihega skripta, ki naj bi ga ta posodobitev ublažila. Poleg tega za neaktivtivno avtomatizacijo ni vgrajenega mehanizma za samodejno soglasje k pozivu, zato ni priporočljivo, da se zanašate na popolno razčlenjevanje v skriptih (poleg tega, da je tvegano). To možnost uporabljajte redko in le kot začasno merilo.
Pogosta vprašanja
V večini primerov bodo skripti, ki prenesejo datoteke ali pridobivajo spletno vsebino kot besedilo, še vedno delovali. Če se želite izogniti pozivu, dodajte parameter -UseBasicParsing.
Skripti, ki uporabljajo napredno razčlenjevanje HTML-ja (kot so obrazci ali DOM), se lahko prenehajo odzivati ali izhodni neobdelani podatki namesto strukturiranih predmetov; za različno obravnavo vsebine boste morali preklopiti na osnovno razčlenjevanje ali spremeniti skript.
Če želite zagotoviti varno in ne interaktivno izvajanje, vedno uporabite parameter -UseBasicParsing z ukazom Invoke-WebRequest v skriptih PowerShell.
Da. Skripte, ki so odvisni od podedovanega razčlenjevanja, je treba posodobiti, če želite privoliti v ali znova izvesti.
Sprememba v lupini PowerShell velja tako za standardne posodobitve kot tudi za posodobitve za hitri pregled, kar povzroči enako spremembo delovanja.
Da. PowerShell 7 že privzeto uporablja varno razčlenjevanje.
Obrnite se na lastnike modulov za pakete podpore. Med selitvi začasno uporabite privolitev v zaupanja vredno vsebino.
Če se želite pripraviti na to spremembo in jo preveriti, priporočamo, da:
-
Prepoznajte skripte s funkcijami DOM.
-
Preskusite avtomatizacijo z novo privzeto možnostjo.
-
Omejite podedovano privolitev v zaupanja vredne vire.
-
Načrtujte vnovično urejanje vsebine, ki ni zaupanja v redu.
