摘要
当您在 SharePoint 服务器上设定搜索结果 Web 部件的属性时,可以指定何时返回的搜索结果显示在网页上的设置为同步或异步加载行为。如果您使用同步加载,站点易跨站点搜索攻击。我们强烈建议您使用异步加载问题查询到在浏览器中加载网页后。
SharePoint 企业服务器 2016 年的安全更新的说明: 2018 年 12 月 11,, SharePoint Server 2013 企业安全更新的说明: 2018 年 12 月 11,和描述的安全更新SharePoint 基础 2010: 12 月 11,2018年修补此漏洞的以下更改:
-
所有现有的搜索结果 Web 部件会自动切换为使用异步加载。
-
所有新创建的搜索结果 Web 部件使用异步加载。
-
加载行为不再是搜索结果 Web 部件属性的用户界面 (UI) 中的一个选项。
安装此更新后,您仍然可以添加加载行为选项返回到每个站点,其中是异步加载行为的默认设置的用户界面。执行此操作之前,强烈建议您仔细考虑是否此漏洞可以被利用在您的环境,并为有关此漏洞的 web 部件所有者提供的指导。
更多信息
若要添加加载行为选项用户界面的搜索结果 Web 部件到 SharePoint 网站,请执行以下步骤:
-
使用了SharePoint_Shell_Access角色的用户帐户登录。
-
在 SharePoint 服务器场中的服务器之一,启动 SharePoint 命令行管理程序。
-
Windows PowerShell 命令提示符下,运行下面的命令:
$sites = Get-SPSite $s = $sites[n] $s.RootWeb.AllowUnsafeUpdates = $true $s.RootWeb.AllProperties.Add("SyncSearchAllowed", 1) $s.RootWeb.Update() $s.RootWeb.AllowUnsafeUpdates = $false
注意:网站 [n]是指定站点的占位符。
若要在 SharePoint Server 2013 或 2016年设置加载行为,请参阅SharePoint 服务器中搜索结果 Web 部件的配置属性.若要在 SharePoint 服务器 2010年搜索核心结果 Web 部件设置加载行为,请执行以下步骤:
-
验证正在执行此过程的用户帐户是设计者组的成员。
-
在搜索结果页上,单击网站操作菜单,然后单击编辑页面。在编辑模式下打开搜索结果页。
-
在搜索核心结果的 Web 部件中,单击箭头,然后从菜单中选择编辑 Web 部件。
-
在AJAX 选项,选择选项来确定 Web 部件返回的搜索结果显示在网页上。 默认情况下,选中使用异步加载框中,并查询从最终用户的浏览器接收到完成页后发放。如果清除了使用异步加载框中,在服务器中,颁发查询和搜索结果包含在回从 sharepoint 网站发送页响应。
要删除加载行为选项搜索结果 Web 部件的用户界面从 SharePoint 网站,请执行以下步骤:
-
使用了SharePoint_Shell_Access角色的用户帐户登录。
-
在 SharePoint 服务器场中的服务器之一,启动 SharePoint 命令行管理程序。
-
Windows PowerShell 命令提示符下,运行下面的命令:$sites = Get-SPSite $s = $sites[n] $s.RootWeb.AllowUnsafeUpdates = $true $s.RootWeb.AllProperties.Remove("SyncSearchAllowed") $s.RootWeb.Update() $s.RootWeb.AllowUnsafeUpdates = $false注意:网站 [n]是指定站点的占位符。