Quan trọng: Bài viết này có chứa thông tin hướng dẫn bạn cách giúp giảm cài đặt bảo mật hoặc cách tắt tính năng bảo mật trên máy tính. Bạn có thể thực hiện các thay đổi này để khắc phục một sự cố cụ thể. Trước khi bạn thực hiện những thay đổi này, chúng tôi khuyên bạn nên đánh giá các rủi ro liên quan đến việc thực hiện giải pháp thay thế này trong môi trường cụ thể của bạn. Nếu bạn thực hiện giải pháp thay thế này, thực hiện bất kỳ bước bổ sung thích hợp để giúp bảo vệ máy tính.
Dấu hiệu
Sau khi bạn cài đặt các bản cập nhật bảo mật tháng 9 sau đây cho SharePoint Server, một số phương pháp Dịch vụ Web của Trang Phần Web có thể bị chặn. Ngoài ra, các thẻ sự kiện "6loz1" hoặc "5mh3d" được ghi nhật ký trong nhật ký Hệ thống Ghi nhật ký Hợp nhất SharePoint (ULS).
Nguyên nhân
Để tăng cường tính bảo mật của SharePoint, kiểm tra bảo mật nâng cao đã được thêm vào phương pháp RenderWebPartForEdit để chặn các điều khiển có chứa ký tự chuyển đổi thuộc tính "." trong thuộc tính của chúng theo mặc định. Điều này có thể khiến các phương pháp Dịch vụ Web Trang Phần Web hiện có bị chặn.
Giải pháp
Lưu ý: Các tính năng sẵn dùng và các phụ thuộc của chúng trong SharePoint Server dựa vào thiết đặt mặc định trong tệp web.config hợp. Nếu SharePoint Server của bạn không triển khai bất kỳ mã hoặc cấu phần tùy chỉnh nào, bạn không cần phải đưa ra bất kỳ thay đổi nào đối với web.config. Nếu bạn tìm thấy bất kỳ tính năng sẵn dùng nào vẫn bị ảnh hưởng với web.config mặc định, vui lòng mở phiếu hỗ trợ để chúng tôi giúp điều tra và giải quyết sự cố.
Cảnh báo: SafeControls mặc định trong tệp web.config của SharePoint đã trải qua quá trình xem xét bảo mật và đã đặt thuộc tính AllowPropertiesTraversal dựa trên việc liệu chúng có được coi là an toàn để sử dụng với một ký tự chuyển đổi thuộc tính trong thuộc tính của chúng hay không. Người dùng nên thực hiện đánh giá bảo mật trước khi đặt bất kỳ thuộc tính SafeControls AllowPropertiesTraversal bổ sung nào là true để đảm bảo rằng họ được an toàn để sử dụng với ký tự chuyển đổi thuộc tính trong giá trị thuộc tính của họ.
Để khắc phục sự cố này, hãy bỏ chặn các điều khiển bị kiểm tra bảo mật chặn.
Trước tiên, hãy tìm thẻ sự kiện "6loz1" và "5mh3d" trong nhật ký ULS SharePoint. Các thẻ sự kiện này chứa thông tin về những điều khiển nào đã bị chặn do có ký tự chuyển đổi thuộc tính "." trong giá trị thuộc tính của chúng. Ví dụ:
6loz1 Unsafe control=<TypeName>, <AssemblyName>, <AssemblyVersion>, <AssemblyLanguageSetting>, <AssemblyPublicKey> cho việc có ký tự chuyển đổi thuộc tính trong giá trị thuộc tính.
Tiếp theo, kiểm tra điều khiển bị chặn để đảm bảo điều khiển đó an toàn với ký tự chuyển đổi thuộc tính trong giá trị thuộc tính. Nếu an toàn, hãy tìm <SafeControl> để kiểm soát điều khiển đó trong nút <Configuration/SharePoint/SafeControls> trong tệp web.config của các ứng dụng web của bạn và thêm thuộc tính AllowPropertiesTraversal="True" cho thuộc tính đó. Nếu bạn không thể tìm thấy <SafeControl> cho điều khiển đó trong nút đó, hãy thêm yếu tố> <SafeControl cho yếu tố đó với thuộc tính AllowPropertiesTraversal="True" . Sau đây là một ví dụ:
<SafeControl
Assembly="CustomSolution.AssemblyName, Version=1.2.3.4,Culture=neutral, PublicKeyToken=11aa22bb33cc44dd"
Namespace="CustomSolution.AssemblyName.NameSpace"
TypeName="AffectedClass"
AllowRemoteDesigner="True" Safe="True" SafeAgainstScript="True" AllowPropertiesTraversal="True"/>
