Korrupte Hyperlinks in Word und Excel

Man möchte meinen, dass beim Öffnen von Hyperlinks aus einem Word-/Excel-Dokument heraus der Standard-Browser mit der gewünschten URL gestartet wird. Dem ist eigenartigerweise nicht so – was zu unschönen Nebeneffekten führt und Links für session-/cookiebasierte logingeschützte Seiten in den besagten Office-Programmen unmöglich macht.


Schuld ist das von Microsoft getaufte Modul namens "User Agent: Microsoft Office Existence Discovery", das im Hintergrund den Link vorlädt und etwaige Redirects verfolgt. Das Problem kann folgendermaßen reproduziert werden: Zunächst erstellt man zwei Dateien namens „loggedin.php" (Seite im eingeloggten Zustand) sowie „login.php" (Seite für den Login):

5bcff34c5cecc130a0ee

5bcff34c5cecc130a0ee

Nach dem direkten Aufruf von „loggedin.php" gelangt man im ursprünglichen Zustand direkt zu „login.php", wo umgehend der Cookie „logged_in" gesetzt wird. Nach erneutem Aufruf von „loggedin.php" erhält man die Nachricht „you are logged in". Verlinkt man nun innerhalb von Word oder Excel (ab Version 2007) auf „loggedin.php", gelangt man stets direkt zu „login.php", unabhängig davon, ob man sich vorher bereits eingeloggt hat oder nicht.

Die Office-Programme starten also im Hintergrund eine Komponente des Internet Explorers, um zu prüfen, ob die URL existiert. Ebenfalls werden etwaige Redirects bis zum Ende verfolgt und die letzte URL ohne Redirect (in unserem Fall „login.php") zurückgegeben und mit dem Standardbrowser aufgerufen. Als mögliche Lösung bietet sich an, den Hintergrundaufruf auf der ersten Seite abzufangen und zu blockieren:

5bcff34c5cecc130a0ee

Zurück