SEC7117 Błąd podczas próby załadowania pliku javascript w MS Edge

Question

Otrzymuję ten błąd podczas próby załadowania pliku javascript z innego serwera przy użyciu krawędzi microsoft. Mam wrażenie, że jest to związane z serwerem, który jest http zamiast https, ale nie jestem pewien. Działa w IE (po zezwoleniu na niezabezpieczone treści), ale nie mogę znaleźć opcji w Edge, aby zezwolić na niezabezpieczoną zawartość.

Jest to błąd otrzymuję:

SEC7117: Network request to http://servername/whatever.js did not succeed. This Internet Explorer instance does not have the following capabilities: privateNetworkClientServer 

Z góry dzięki za pomoc!

Answer 1

Może to mieć coś wspólnego z mieszaniem stref Internet/Intranet, a nie http/https.

Zobacz tutaj: Understanding Enhanced Protected Mode

prywatnych zasobów sieciowych

Ponieważ EPM nie deklarują możliwość privateNetworkClientServer, swoje zasoby Intranet są chronione przed wieloma rodzajami ataków cross-Zone (zwykle nazywane „Krzyż "Skanowanie na żądanie" (CSRF) "i" Skanowanie portów intranetowych ".) Strony internetowe nie mogą tworzyć ramek stron intranetowych, ładować z nich obrazów lub zasobów, wysyłać do nich żądań CORS XHR itp.

Wiem, że jest to stary post, ale informacje nadal wydają się istotne, ponieważ witryna Microsoft MSDN nadal odwołuje się do niego w odniesieniu do IE11 (np. tutaj: Enhanced Protected Mode on desktop IE). Wiem też, że IE11 nie jest Edge, ale ta informacja może również dotyczyć aplikacji w stylu Metro.

[UPDATE]

W mojej konfiguracji krawędzi udało się załadować moją stronę w iframe. Gdy próbowałem załadować stronę na oddzielnej karcie Krawędź, ładowało się dobrze.

Okazuje się, że Edge nie załaduje zabezpieczonej strony prywatnej/lokalnej SSL (iframe) w połączeniu z ładowaniem publicznej strony zabezpieczonej. Obie witryny są zabezpieczone przy użyciu publicznych certyfikatów SSL, aby zapobiec problemom z mieszaną zawartością. Problem polega na tym, że zabezpieczenia Edge wykrywa, że ​​witryna iframe znajduje się w sieci lokalnej użytkownika (sieć prywatna/domena) i zapobiega ładowaniu strony w elemencie iframe. Krawędź zgłasza następujące błędy zabezpieczeń w konsoli programisty:

SEC7117: Network request to https://my.company.com/default.html did not succeed. This Internet Explorer instance does not have the following capabilities: privateNetworkClientServer 
SEC7111: HTTPS security is compromised by ms-appx-web://microsoft.microsoftedge/assets/errorpages/dnserror.html 

Aby rozwiązać ten problem ruszyliśmy stronę wewnętrzną do nielokalnego przestrzeni adresowej (prywatną przestrzeń w sieci, używając innej podsieci z sieci lokalnej), tak aby krawędź wykrywa witrynę jako sieć publiczną. Alternatywnie możesz przenieść zasoby do prawdziwego adresu publicznego.

Answer 2

Oto dwie alternatywy dla restrukturyzacji sieci:

1. można rozważyć dodanie zewnętrznie hostowane witrynę do „Lokalny intranet” strefy.

E.g. Jeśli external.somedomain zawiera odniesienie do internal.mydomain/whatever.js następnie dodać external.somedomain do "strefy Lokalny intranet" w "Opcje internetowe".

2. Jeśli to możliwe, zmień nazwę hosta witryny hostowanej zewnętrznie na , dopasowując ją do witryny hostowanej wewnętrznie.

E.g. Jeśli external.somedomain zawiera odniesienie do internal.mydomain/whatever.js następnie zmienić external.somedomain hosta do external.mydomain.

Obie te opcje w zasadzie zezwalają skryptom w witrynie zewnętrznej na sondowanie usług HTTPS w sieci wewnętrznej w pewnym zakresie, co do których zakładam, że ta funkcja zabezpieczeń próbuje zapobiec. Pierwsza opcja jest najmniej bezpieczna, ponieważ druga opcja ogranicza się do sondowania pasujących nazw domen.

Podczas testów zauważyłem, że Edge wydaje się pobierać dane sieciowe z Active Directory, gdy system Windows jest połączony z domeną. Może to zapobiegać łączeniu witryn hostowanych zewnętrznie z zasobami hostowanymi w dowolnym miejscu w domenie AD, a nie tylko z bieżącą podsiecią, z którą jesteś połączony. Jedyny wyjątek to sytuacja, gdy hostowana zewnętrznie witryna ma tę samą nazwę domeny podstawowej. Wszystko to jest najwyraźniej nieudokumentowane, dlatego zamieszczam tę informację tutaj.