(0) exportieren Drucken
Alle erweitern
Erweitern Minimieren

Ereignis 1034 - Domänenabgrenzung und Skript-URL-Ausgleich

Veröffentlicht: Juni 2010

Letzte Aktualisierung: Juni 2010

Betrifft: Windows 7, Windows Vista

Windows® Internet Explorer® enthält einen Skript-URL-Ausgleich für domänenübergreifende Exploits. Bei diesen Angriffen kann die Webseite einer Domäne den Inhalt einer Webseite in einer anderen Domäne lesen oder manipulieren. Bei einer Skript-URL handelt es sich um eine URL, die mit einem Skriptprotokoll wie JavaScript oder VBScript beginnt (z. B. javascript:doFormPost()). Da Skript-URLs Skripts normalerweise in einem Internet Explorer-Fenster ausführen, werden sie leicht zum Ziel von domänenübergreifenden Exploits.

In früheren Versionen von Internet Explorer, vor Windows Internet Explorer 7, wurden Skript-URLs wie herkömmliche URLs behandelt und es konnte eine Navigation stattfinden. Bei dieser Navigation erhielt die Skriptquelle Zugriff auf das aktuelle Fenster und konnte dort ausgeführt werden. In Windows Internet Explorer 8 und Internet Explorer 7 entfernt der Skript-URL-Ausgleich das Skript aus der Skript-URL. Dadurch wird auf effiziente Weise die Navigation an Stellen verhindert, die als unsicher gelten. Das Skript wird dann von Internet Explorer im Domänenkontext der Webseite ausgeführt, von der es stammt, und es erfolgt keine Navigation zu der Seite.

Wie zeigt sich das Problem dem Benutzer?

Wenn die Navigation über die Skript-URL von einer fragwürdigen Stelle aus stattfindet oder Internet Explorer den Domänenkontext nicht abrufen kann, wird die Navigation blockiert und in der Statusleiste wird eine Fehlermeldung angezeigt. Hängt die Webseite von dieser blockierten Navigation ab, kann sie möglicherweise zum Teil nicht mehr verwendet werden. Wenn ein Benutzer dann auf einen Link oder eine Schaltfläche klickt, geschieht nichts.

Was kann dieses Problem verursachen?

Der Handler submit() oder onclick des Formularelements gibt einen Verweis auf zwei häufige Funktionalitäten an, die von Internet Explorer wegen einer JavaScript-URL blockiert werden:

  • Location.href

  • Window.Open

Wann wird dieses Ereignis protokolliert?

Dieses Ereignis wird protokolliert, wenn eine Webseite versucht, eine Skript-URL domänenübergreifend auszuführen.

noteHinweis
Weitere Informationen und Beispiele zu diesem Ereignis finden Sie im Thema zum Ereignis 1034 - Domänenabgrenzung und Skript-URL-Ausgleich unter Internet Explorer-Anwendungskompatibilität (möglicherweise in englischer Sprache).

Wartung

Damit die Skript-URL die Navigation auf eine Website umleitet, können Sie mithilfe eines Ereignishandlers oder Inlineskripts die Ausführung des Skripts ändern, oder Sie können einen Aufruf für die execScript-Methode bereitstellen.

Verwenden eines Ereignishandlers

Sie können die Skript-URL <a href="javascript:alert('hi')" > </a> ändern und einen Ereignishandler aufnehmen, z. B. <a onclick="javascript:alert('hi')" > </a>.

Verwenden eines Inlineskripts

Die Skript-URL kann mithilfe eines Inlineskripttags ausgeführt werden. Beispiel:


<script>
  doSomething()
</script>

Verwenden der execScript-Methode

Sie können die execScript-Methode aufrufen, um den Code der Skript-URL auszuführen. Ändern Sie z. B. window.location = javascript:doSomething() in window.execScript("javascript:doSomething()").

Wie kann das Problem umgangen werden?

Sie können das Sicherheitsfeature für den Skript-URL-Ausgleich umgehen, indem Sie den folgenden Registrierungsschlüssel deaktivieren:

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\ FEATURE_SCRIPTURL_MITIGATION]"iexplore.exe"=dword:00000000

Was geschieht beim Deaktivieren dieses Sicherheitsfeatures?

Wenn Sie dieses Sicherheitsfeature deaktivieren, ist Ihre Website anfälliger für domänenübergreifende Angriffe. Deaktivieren Sie dieses Feature nur temporär zur Problembehandlung, um das Verhalten der Anwendung bei aktiviertem und deaktiviertem Feature zu vergleichen. Das Feature sollte nicht dauerhaft deaktiviert bleiben.

Siehe auch

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2014 Microsoft