通过

Microsoft Edge WebView2 - 策略

  • 项目

最新版本的 Microsoft Edge WebView2 包含以下策略。 可以使用这些策略来配置在你的组织中运行 Microsoft Edge WebView2 的方式。

有关用于控制 Microsoft Edge WebView2 的更新方式和时间的其他策略集的信息,请查看 Microsoft Edge 更新策略参考

注意

本文适用于 Microsoft Edge 版本 87 或更高版本。

新策略

下表列出了本文更新中的已过时策略。

策略名称 字幕
BlockTruncatedCookies 阻止截断的 cookie (过时)

可用策略

这些表列出了本版本 Microsoft Edge WebView2 中提供的所有组策略。 使用表中的链接获取有关特定策略的更多详细信息。

加载器替代设置

策略名称 字幕
BrowserExecutableFolder 配置浏览器可执行文件文件夹的位置
ChannelSearchKind 配置 WebView2 发布通道搜索类型
ReleaseChannelPreference (弃用) 设置发布通道搜索顺序首选项
ReleaseChannels 配置 WebView2 发布通道

网络设置

策略名称 字幕
AccessControlAllowMethodsInCORSPreflightSpecConformant 使 CORS 预检规范中的 Access-Control-Allow-Methods 匹配符合
BlockTruncatedCookies 阻止截断的 cookie (过时)
ZstdContentEncodingEnabled 启用 zstd 内容编码支持

附加

策略名称 字幕
ExperimentationAndConfigurationServiceControl 控制与试验和配置服务的通信
ForcePermissionPolicyUnloadDefaultEnabled 控制是否可以禁用卸载事件处理程序。
HttpAllowlist HTTP 允许列表
NewBaseUrlInheritanceBehaviorAllowed 允许启用功能 NewBaseUrlInheritanceBehavior (已弃用)
NewPDFReaderWebView2List 启用由 Adobe Acrobat for WebView2 提供支持的内置 PDF 阅读器
RSAKeyUsageForLocalAnchorsEnabled 检查本地信任定位点颁发的服务器证书的 RSA 密钥使用情况 (弃用)

加载器替代设置策略

返回页首

BrowserExecutableFolder

配置浏览器可执行文件文件夹的位置

支持的版本:

  • 在 87 版或更高版本的 Windows 上

描述

此策略将 WebView2 应用程序配置为在指定路径中使用 WebView2 Runtime。 该文件夹应包含以下文件:msedgewebview2.exe、msedge.dll 等。

若要设置文件夹路径的值,请提供值名称和值对。 将值名称设置为 应用程序用户模型 ID 或可执行文件名称。 可将通配符“*”用作值名称,以便应用于所有应用程序。

支持的功能:

  • 可以强制:是
  • 可以推荐:否
  • 动态策略刷新:是

数据类型:

  • 字符串列表

Windows 信息和设置

组策略 (ADMX) 信息
  • GP 唯一名称:BrowserExecutableFolder
  • GP 名称:配置浏览器可执行文件文件夹的位置
  • GP 路径(强制):管理模板/Microsoft Edge WebView2/加载器替代设置
  • GP 路径(推荐):不适用
  • GP ADMX 文件名:MSEdgeWebView2.admx
Windows 注册表设置
  • 路径(强制):SOFTWARE\Policies\Microsoft\Edge\WebView2\BrowserExecutableFolder
  • 路径(推荐):不适用
  • 值名称:REG_SZ 列表
  • 值类型:REG_SZ 列表
示例值:
SOFTWARE\Policies\Microsoft\Edge\WebView2\BrowserExecutableFolder = "Name: *, Value: C:\\Program Files\\Microsoft Edge WebView2 Runtime Redistributable 85.0.541.0 x64"

返回页首

ChannelSearchKind

配置 WebView2 发布通道搜索类型

支持的版本:

  • 自 121 或更高版本起在 Windows 上

描述

此策略为 WebView2 应用程序配置通道搜索类型。 默认情况下,通道搜索类型为 0,这相当于相应 WebView2 API 中的“最稳定”搜索类型;这表明 WebView2 环境创建应从最稳定到最不稳定地搜索发布通道:WebView2 运行时、Beta 版、Dev 和 Canary。

若要反转默认搜索顺序并使用“最不稳定”搜索类型,请将此策略设置为 1。

若要设置通道搜索类型的值,请提供“值名称”和“值对”。 将值名称设置为 应用程序用户模型 ID 或可执行文件名称。 可将通配符“*”用作值名称,以便应用于所有应用程序。

支持的功能:

  • 可以强制:是
  • 可以推荐:否
  • 动态策略刷新:是

数据类型:

  • 字符串列表

Windows 信息和设置

组策略 (ADMX) 信息
  • GP 唯一名称:ChannelSearchKind
  • GP 名称:配置 WebView2 发布通道搜索类型
  • GP 路径(强制):管理模板/Microsoft Edge WebView2/加载器替代设置
  • GP 路径(推荐):不适用
  • GP ADMX 文件名:MSEdgeWebView2.admx
Windows 注册表设置
  • 路径 (强制) :SOFTWARE\Policies\Microsoft\Edge\WebView2\ChannelSearchKind
  • 路径(推荐):不适用
  • 值名称:REG_SZ 列表
  • 值类型:REG_SZ 列表
示例值:
SOFTWARE\Policies\Microsoft\Edge\WebView2\ChannelSearchKind = "Name: WebView2APISample.exe, Value: 1"

返回页首

ReleaseChannelPreference

(弃用) 设置发布通道搜索顺序首选项

已弃用:此策略已弃用。 当前受支持,但将在未来的版本中弃用。

支持的版本:

  • 在 87 版或更高版本的 Windows 上

描述

此策略已弃用,转而改用 ChannelSearchKind,后者具有相同的功能,并且将在 124 版本中过时。 默认渠道搜索顺序是 WebView2 Runtime、Beta、Dev 和未带。

若要反转默认搜索顺序,请将此策略设置为 1。

若要设置发布渠道首选项的值,请提供值名称和值对。 将值名称设置为 应用程序用户模型 ID 或可执行文件名称。 可将通配符“*”用作值名称,以便应用于所有应用程序。

支持的功能:

  • 可以强制:是
  • 可以推荐:否
  • 动态策略刷新:是

数据类型:

  • 字符串列表

Windows 信息和设置

组策略 (ADMX) 信息
  • GP 唯一名称:ReleaseChannelPreference
  • GP 名称: (弃用) 设置发布通道搜索顺序首选项
  • GP 路径(强制):管理模板/Microsoft Edge WebView2/加载器替代设置
  • GP 路径(推荐):不适用
  • GP ADMX 文件名:MSEdgeWebView2.admx
Windows 注册表设置
  • 路径(强制):SOFTWARE\Policies\Microsoft\Edge\WebView2\ReleaseChannelPreference
  • 路径(推荐):不适用
  • 值名称:REG_SZ 列表
  • 值类型:REG_SZ 列表
示例值:
SOFTWARE\Policies\Microsoft\Edge\WebView2\ReleaseChannelPreference = "Name: *, Value: 1"

返回页首

ReleaseChannels

配置 WebView2 发布通道

受支持的版本:

  • 自 121 或更高版本起在 Windows 上

描述

此策略配置 WebView2 应用程序的发布通道选项。 若要配置这些选项,请将值设置为逗号分隔的整数字符串,该字符串映射到 COREWEBVIEW2_RELEASE_CHANNELS 相应 WebView2 API 中的值。 这些值包括:WebView2 Runtime (0) 、Beta (1) 、Dev (2) 和 Canary (3) 。 默认情况下,环境创建使用设备上找到的第一个通道搜索从最稳定到最不稳定的通道。 提供 时 ReleaseChannels ,环境创建将仅搜索集中指定的通道。 例如,值“0,2”和“2,0”指示环境创建应仅使用 指示 ChannelSearchKind的顺序搜索开发通道和 WebView2 运行时。 环境创建尝试解释每个整数,并将任何无效条目视为稳定通道。 设置为 ChannelSearchKind 反转搜索顺序,以便环境创建首先搜索最不稳定的内部版本。 如果同时 BrowserExecutableFolder 提供 和 ReleaseChannelsBrowserExecutableFolder 则 优先,而不管 的通道 BrowserExecutableFolder 是否包含在 中 ReleaseChannels

若要设置发布通道的值,请提供“值名称”和“值对”。 将值名称设置为应用程序用户模型 ID 或可执行文件名称。 可将通配符“*”用作值名称,以便应用于所有应用程序。

支持的功能:

  • 可以强制:是
  • 可以推荐:否
  • 动态策略刷新:是

数据类型:

  • 字符串列表

Windows 信息和设置

组策略 (ADMX) 信息
  • GP 唯一名称:ReleaseChannels
  • GP 名称:配置 WebView2 发布通道
  • GP 路径(强制):管理模板/Microsoft Edge WebView2/加载器替代设置
  • GP 路径(推荐):不适用
  • GP ADMX 文件名:MSEdgeWebView2.admx
Windows 注册表设置
  • 路径 (必需) :SOFTWARE\Policies\Microsoft\Edge\WebView2\ReleaseChannels
  • 路径(推荐):不适用
  • 值名称:REG_SZ 列表
  • 值类型:REG_SZ 列表
示例值:
SOFTWARE\Policies\Microsoft\Edge\WebView2\ReleaseChannels = "Name: WebView2APISample.exe, Value: 0,1,2"

返回页首

网络设置策略

返回页首

AccessControlAllowMethodsInCORSPreflightSpecConformant

使 CORS 预检规范中的 Access-Control-Allow-Methods 匹配符合

支持的版本:

  • 自 123 或更高版本起在 Windows 上

描述

此策略控制在与 CORS 预检中的 Access-Control-Allow-Methods 响应标头匹配时,请求方法是否为大写。

如果禁用此策略,请求方法将采用大写形式。 这是Microsoft Edge 108 上或之前的行为。

如果启用或未配置此策略,则请求方法不是大写的,除非与 DELETE、GET、HEAD、OPTIONS、POST 或 PUT 匹配。

这将拒绝提取 (url,{method: 'Foo'}) +“Access-Control-Allow-Methods: FOO”响应标头,并接受提取 (url,{method: 'Foo'}) +“Access-Control-Allow-Methods: Foo”响应标头。

注意:请求方法“post”和“put”不受影响,而“patch”将受到影响。

此策略是临时策略,将来将被删除。

支持的功能:

  • 可以强制:是
  • 可以推荐:否
  • 动态策略刷新:否 - 需要重新启动浏览器

数据类型:

  • 布尔

Windows 信息和设置

组策略 (ADMX) 信息
  • GP 唯一名称:AccessControlAllowMethodsInCORSPreflightSpecConformant
  • GP 名称:使 CORS 预检规范中的 Access-Control-Allow-Methods 匹配符合
  • GP 路径 (强制) :管理模板/Microsoft Edge WebView2/网络设置
  • GP 路径(推荐):不适用
  • GP ADMX 文件名:MSEdgeWebView2.admx
Windows 注册表设置
  • 路径(强制):SOFTWARE\Policies\Microsoft\Edge\WebView2
  • 路径(推荐):不适用
  • 值名称:AccessControlAllowMethodsInCORSPreflightSpecConformant
  • 值类型:REG_DWORD
示例值:
0x00000001

返回页首

BlockTruncatedCookies

阻止截断的 cookie (过时)

已过时:此策略已过时,Microsoft Edge 131 后不起作用。

受支持的版本:

  • 自 123 起在 Windows 上,直到 131

描述

此策略为更改Microsoft Edge 处理通过 JavaScript 设置的 Cookie 的方式提供了临时退出选择,这些 Cookie 包含某些控制字符 (NULL、回车符和换行) 。 以前,Cookie 字符串中存在这些字符中的任何一个都会导致它被截断,但仍被设置。 现在,存在这些字符将导致忽略整个 Cookie 字符串。

如果启用或未配置此策略,则会启用新行为。

如果禁用此策略,则会启用旧行为。

此策略已过时,因为此策略最初是在发生损坏时作为安全措施实施,但尚未报告。

受支持的功能:

  • 可以强制:是
  • 可以推荐:否
  • 动态策略刷新:是

数据类型:

  • 布尔

Windows 信息和设置

组策略 (ADMX) 信息
  • GP 唯一名称:BlockTruncatedCookies
  • GP 名称:阻止截断的 cookie (过时)
  • GP 路径 (强制) :管理模板/Microsoft Edge WebView2/网络设置
  • GP 路径(推荐):不适用
  • GP ADMX 文件名:MSEdgeWebView2.admx
Windows 注册表设置
  • 路径(强制):SOFTWARE\Policies\Microsoft\Edge\WebView2
  • 路径(推荐):不适用
  • 值名称:BlockTruncatedCookies
  • 值类型:REG_DWORD
示例值:
0x00000000

返回页首

ZstdContentEncodingEnabled

启用 zstd 内容编码支持

受支持的版本:

  • 自 125 或更高版本起在 Windows 上

描述

此功能支持在 Accept-Encoding 请求标头中播发“zstd”,并支持解压缩 zstd Web 内容。

如果启用或未配置此策略,Microsoft Edge 将接受使用 zstd 压缩的服务器响应。

如果禁用此策略,在处理服务器响应时,将不会播发或支持 zstd 内容编码功能。

此策略是临时策略,将来将删除。

受支持的功能:

  • 可以强制:是
  • 可以推荐:否
  • 动态策略刷新:否 - 需要重新启动浏览器

数据类型:

  • 布尔

Windows 信息和设置

组策略 (ADMX) 信息
  • GP 唯一名称:ZstdContentEncodingEnabled
  • GP 名称:启用 zstd 内容编码支持
  • GP 路径 (强制) :管理模板/Microsoft Edge WebView2/网络设置
  • GP 路径(推荐):不适用
  • GP ADMX 文件名:MSEdgeWebView2.admx
Windows 注册表设置
  • 路径(强制):SOFTWARE\Policies\Microsoft\Edge\WebView2
  • 路径(推荐):不适用
  • 值名称:ZstdContentEncodingEnabled
  • 值类型:REG_DWORD
示例值:
0x00000001

返回页首

其他策略

返回页首

ExperimentationAndConfigurationServiceControl

控制与试验和配置服务的通信

支持的版本:

  • Windows 97 或更高版本

描述

试验和配置服务用于将试验和配置有效负载部署到客户端。

试验有效负载包括 Microsoft 为测试和反馈启用的早期开发功能列表。

配置有效负载包含 Microsoft 希望部署到的建议设置列表以优化用户体验。

配置有效负载还可能包含出于兼容性原因对某些域采取的操作列表。 例如,如果某个网站被破坏,则浏览器可能会替代该网站上的用户代理字符串。 当 Microsoft 尝试解决网站所有者的问题时,这些操作中的每一个操作都是临时的。

如果将此策略设置为 'FullMode' 模式,则会从实验和配置服务下载完整的有效负载。 这包括试验和配置有效负载。

如果将此策略设置为 'ConfigurationsOnlyMode' 模式,则仅下载配置有效负载。

如果将此策略设置为 "RestrictedMode",将完全停止与实验和配置服务的通信。 Microsoft 不建议此设置。

如果未配置此策略,则在 Stable 和 Beta 渠道的受管理设备上,行为与 'ConfigurationsOnlyMode' 模式相同。 在 Canary 和 Dev 频道上,行为与“FullMode”相同。

如果未配置此策略,则在未被管理的设备上,该行为与“FullMode”相同。

策略选项映射:

  • FullMode (2) = 检索配置和实验

  • ConfigurationsOnlyMode (1) = 仅检索配置

  • RestrictedMode (0) = 禁用与实验和配置服务的通信

配置此策略时,请使用上述信息。

支持的功能:

  • 可以强制:是
  • 可以推荐:否
  • 动态策略刷新:是

数据类型:

  • 整型

Windows 信息和设置

组策略 (ADMX) 信息
  • GP 唯一名称:ExperimentationAndConfigurationServiceControl
  • GP 名称:控制与试验和配置服务的通信
  • GP 路径(强制):Administrative Templates/Microsoft Edge WebView2/
  • GP 路径(推荐):不适用
  • GP ADMX 文件名:MSEdgeWebView2.admx
Windows 注册表设置
  • 路径(强制):SOFTWARE\Policies\Microsoft\Edge\WebView2
  • 路径(推荐):不适用
  • 值名称:ExperimentationAndConfigurationServiceControl
  • 值类型:REG_DWORD
示例值:
0x00000002

返回页首

ForcePermissionPolicyUnloadDefaultEnabled

控制是否可以禁用卸载事件处理程序。

受支持的版本:

  • 自 118 或更高版本起在 Windows 上

描述

卸载事件处理程序正在弃用。 是否触发取决于卸载权限策略。 目前,策略默认允许它们。 将来,它们将逐渐转向默认禁止,并且网站必须使用 Permissions-Policy 标头显式启用它们。 此企业策略可用于通过强制保持启用默认值来选择退出这种逐步弃用。

页面可能依赖于卸载事件处理程序来保存数据或向服务器发出用户会话结束的信号。 不建议这样做,因为它不可靠,并且会阻止使用 BackForwardCache 来影响性能。 建议的替代项存在,但卸载事件已使用很长时间。 某些应用程序可能仍依赖于它们。

如果禁用或未配置此策略,卸载事件处理程序将随着弃用推出而逐渐弃用,未设置 Permissions-Policy 标头的网站将停止触发 unload 事件。

如果启用此策略,则默认情况下,卸载事件处理程序将继续工作。

受支持的功能:

  • 可以强制:是
  • 可以推荐:否
  • 动态策略刷新:是

数据类型:

  • 布尔

Windows 信息和设置

组策略 (ADMX) 信息
  • GP 唯一名称:ForcePermissionPolicyUnloadDefaultEnabled
  • GP 名称:控制是否可以禁用卸载事件处理程序。
  • GP 路径(强制):Administrative Templates/Microsoft Edge WebView2/
  • GP 路径(推荐):不适用
  • GP ADMX 文件名:MSEdgeWebView2.admx
Windows 注册表设置
  • 路径(强制):SOFTWARE\Policies\Microsoft\Edge\WebView2
  • 路径(推荐):不适用
  • 值名称:ForcePermissionPolicyUnloadDefaultEnabled
  • 值类型:REG_DWORD
示例值:
0x00000001

返回页首

HttpAllowlist

HTTP 允许列表

受支持的版本:

  • 自 123 或更高版本起在 Windows 上

描述

设置策略可指定主机名或主机名模式的列表, (如'[*.]如果启用了 HTTPS-First 模式,则不会升级到 HTTPS 且不会显示错误间隙的 example.com ) 。 组织可以使用此策略来维护对不支持 HTTPS 的服务器的访问权限,而无需禁用“AutomaticHttpsDefault”。

提供的主机名必须规范:任何 IDN 必须转换为其 A 标签格式,所有 ASCII 字母必须小写。

不允许使用 (“”或“[]”) 的覆盖主机通配符。 相反,应通过其特定策略显式禁用 HTTPS-First 模式和 HTTPS 升级。

注意:此策略不适用于 HSTS 升级。

受支持的功能:

  • 可以强制:是
  • 可以推荐:否
  • 动态策略刷新:是

数据类型:

  • 字符串列表

Windows 信息和设置

组策略 (ADMX) 信息
  • GP 唯一名称:HttpAllowlist
  • GP 名称:HTTP 允许列表
  • GP 路径(强制):Administrative Templates/Microsoft Edge WebView2/
  • GP 路径(推荐):不适用
  • GP ADMX 文件名:MSEdgeWebView2.admx
Windows 注册表设置
  • 路径 (强制) :SOFTWARE\Policies\Microsoft\Edge\WebView2\HttpAllowlist
  • 路径(推荐):不适用
  • 值名称:REG_SZ 列表
  • 值类型:REG_SZ 列表
示例值:
SOFTWARE\Policies\Microsoft\Edge\WebView2\HttpAllowlist = "testserver.example.com"
SOFTWARE\Policies\Microsoft\Edge\WebView2\HttpAllowlist = "[*.]example.org"

返回页首

NewBaseUrlInheritanceBehaviorAllowed

允许启用功能 NewBaseUrlInheritanceBehavior (已弃用)

已弃用:此策略已弃用。 当前受支持,但将在未来的版本中弃用。

支持的版本:

  • 自 123 或更高版本起在 Windows 上

描述

NewBaseUrlInheritanceBehavior 是一项Microsoft Edge 功能,它使 about:blank 和 about:srcdoc 帧通过发起方基 URL 的快照一致继承其基 URL 值。

如果禁用此策略,则会阻止用户或Microsoft Edge 变体启用 NewBaseUrlInheritanceBehavior,以防发现兼容性问题。

如果启用或未配置此策略,则允许启用 NewBaseUrlInheritanceBehavior。

此策略已被弃用,因为已删除 NewBaseUrlInheritanceBehaviorAllowed 功能。

此策略将在版本 133 中过时。

受支持的功能:

  • 可以强制:是
  • 可以推荐:否
  • 动态策略刷新:是

数据类型:

  • 布尔

Windows 信息和设置

组策略 (ADMX) 信息
  • GP 唯一名称:NewBaseUrlInheritanceBehaviorAllowed
  • GP 名称:允许启用 NewBaseUrlInheritanceBehavior (弃用)
  • GP 路径(强制):Administrative Templates/Microsoft Edge WebView2/
  • GP 路径(推荐):不适用
  • GP ADMX 文件名:MSEdgeWebView2.admx
Windows 注册表设置
  • 路径(强制):SOFTWARE\Policies\Microsoft\Edge\WebView2
  • 路径(推荐):不适用
  • 值名称:NewBaseUrlInheritanceBehaviorAllowed
  • 值类型:REG_DWORD
示例值:
0x00000001

返回页首

NewPDFReaderWebView2List

启用由 Adobe Acrobat for WebView2 提供支持的内置 PDF 阅读器

受支持的版本:

  • 自 116 或更高版本起在 Windows 上

描述

此策略将 WebView2 应用程序配置为启动由 Adobe Acrobat 的 PDF 阅读器提供支持的 PDF 阅读器的新版本。 新的 PDF 阅读器可确保不会丢失功能,并提供增强的 PDF 体验。 此体验包括更丰富的呈现、改进的性能、增强的 PDF 文件处理安全性以及更好的辅助功能。

如果为应用程序指定了此策略,则可能也可能会影响其他相关应用程序。 该策略将应用于共享同一 WebView2 用户数据文件夹的所有 WebView2。 如果这些应用程序可能来自同一产品系列,则这些 WebView2 可能属于多个应用程序,这些应用程序设计为共享相同的用户数据文件夹。

使用名称/值对为应用程序启用新的 PDF 阅读器。 将名称设置为应用程序用户模型 ID 或可执行文件名称。 可将通配符“*”用作值名称,以便应用于所有应用程序。 将“值”设置为 true 以启用新的读取器,或将其设置为 false 以使用现有读取器。

如果为指定的 WebView2 应用程序启用此策略,它们将使用新的 Adobe Acrobat 支持的 PDF 阅读器打开所有 PDF 文件。

如果为指定的 WebView2 应用程序禁用策略或未对其进行配置,它们将使用现有的 PDF 读取器打开所有 PDF 文件。

受支持的功能:

  • 可以强制:是
  • 可以推荐:否
  • 动态策略刷新:否 - 需要重新启动浏览器

数据类型:

  • 字符串列表

Windows 信息和设置

组策略 (ADMX) 信息
  • GP 唯一名称:New PDFReaderWebView2List
  • GP 名称:启用由 Adobe Acrobat for WebView2 提供支持的内置 PDF 阅读器
  • GP 路径(强制):Administrative Templates/Microsoft Edge WebView2/
  • GP 路径(推荐):不适用
  • GP ADMX 文件名:MSEdgeWebView2.admx
Windows 注册表设置
  • 路径 (必需) :SOFTWARE\Policies\Microsoft\Edge\WebView2\NewPDFReaderWebView2List
  • 路径(推荐):不适用
  • 值名称:REG_SZ 列表
  • 值类型:REG_SZ 列表
示例值:
SOFTWARE\Policies\Microsoft\Edge\WebView2\NewPDFReaderWebView2List = {"name": "app1.exe", "value": true}
SOFTWARE\Policies\Microsoft\Edge\WebView2\NewPDFReaderWebView2List = {"name": "app_id_for_app2", "value": true}
SOFTWARE\Policies\Microsoft\Edge\WebView2\NewPDFReaderWebView2List = {"name": "*", "value": false}

返回页首

RSAKeyUsageForLocalAnchorsEnabled

检查本地信任定位点颁发的服务器证书的 RSA 密钥使用情况 (弃用)

已弃用:此策略已弃用。 当前受支持,但将在未来的版本中弃用。

支持的版本:

  • 自 123 或更高版本起在 Windows 上

描述

此策略已弃用,因为已删除 RSAKeyUsageForLocalAnchorsEnabled 功能。

此策略将在版本 133 中删除。

X.509 密钥用法扩展声明证书中的密钥的使用方式。 这些说明可确保不会在意外上下文中使用证书,从而防范 HTTPS 和其他协议上的一类跨协议攻击。 HTTPS 客户端必须验证服务器证书是否与连接的 TLS 参数匹配。

从 Microsoft Edge 124 开始,始终启用此检查。

Microsoft Edge 123 及更早版本具有以下行为:

如果此策略设置为“启用”,Microsoft Edge 将执行此密钥检查。 这有助于防止攻击者以证书所有者不打算的方式操纵浏览器来解释密钥的攻击。

如果此策略设置为禁用,Microsoft Edge 将跳过协商 TLS 1.2 的 HTTPS 连接中的密钥检查,并使用链接到本地信任定位点的 RSA 证书。 本地信任定位点的示例包括策略提供的或用户安装的根证书。 在所有其他情况下,执行检查独立于此策略的设置。

如果未配置此策略,Microsoft Edge 的行为将如同启用策略一样。

管理员可以使用此策略预览未来版本的行为,该版本默认启用此检查。 此时,此策略将暂时可供需要更多时间来更新证书以满足新的 RSA 密钥使用要求的管理员使用。

失败此检查Connections将失败,并出现错误ERR_SSL_KEY_USAGE_INCOMPATIBLE。 失败并出现此错误的站点可能具有配置错误的证书。 新式ECDHE_RSA密码套件使用“digitalSignature”密钥用法选项,而旧版 RSA 解密密码套件使用“keyEncipherment”密钥用法选项。 如果不确定,管理员应在用于 HTTPS 的 RSA 证书中包含这两者。

受支持的功能:

  • 可以强制:是
  • 可以推荐:否
  • 动态策略刷新:是

数据类型:

  • 布尔

Windows 信息和设置

组策略 (ADMX) 信息
  • GP 唯一名称:RSAKeyUsageForLocalAnchorsEnabled
  • GP 名称:检查本地信任定位点颁发的服务器证书的 RSA 密钥使用情况, (已弃用)
  • GP 路径(强制):Administrative Templates/Microsoft Edge WebView2/
  • GP 路径(推荐):不适用
  • GP ADMX 文件名:MSEdgeWebView2.admx
Windows 注册表设置
  • 路径(强制):SOFTWARE\Policies\Microsoft\Edge\WebView2
  • 路径(推荐):不适用
  • 值名称:RSAKeyUsageForLocalAnchorsEnabled
  • 值类型:REG_DWORD
示例值:
0x00000001

返回页首

另请参阅