L'appel XMLHTTP échoue pour les URL intégrant des informations d'authentification d'utilisateur

Traductions disponibles Traductions disponibles
Numéro d'article: 832414 - Voir les produits auxquels s'applique cet article
Cet article peut contenir des liens vers des informations en langue anglaise (pas encore traduites).
Agrandir tout | Réduire tout

Symptômes

Lorsque vous effectuez des appels XMLHTTP aux formats suivants :
Xmlhttp.open("GET", 
"http://someone:mypass@www.northwindtraders.com/default.asp", 
 false, "", "");
Xmlhttp.open("GET",
"http://someone:mypass@www.northwindtraders.com/default.asp",
 false, "someone", "passwd");
Xmlhttp.open("GET",
 "http://www.northwindtraders.com/default.asp",
  false, "someone", "mypass");
L'appel échoue et le message d'erreur suivant s'affiche :
Erreur de syntaxe
Toutefois, l'appel suivant aboutit :
Xmlhttp.open("GET", "http://www.northwindtraders.com/default.asp", false, "", "");

Cause

La mise à jour de sécurité Microsoft Internet Explorer décrite dans l'article suivant de la Base de connaissances Microsoft
832894 MS04-004 : Mise à jour de sécurité cumulative pour Internet Explorer
interdit les URL intégrant des informations d'authentification d'utilisateur.

Plus d'informations

Même après avoir appliqué le correctif fourni dans cet article, les appels XMLHTTP avec des URL aux formats suivants échouent encore.
Xmlhttp.open("GET",
"http://someone:mypass@www.northwindtraders.com/default.asp",
 false);
Xmlhttp.open("GET",
"http://someone:mypass@www.northwindtraders.com/default.asp",
 false, "someone", "passwd");
Vous devez appliquer le correctif et vous devez également modifier l'URL au format suivant.
Xmlhttp.open("GET", "http://www.northwindtraders.com/default.asp", false, "someone", "mypass");

Résolution

Un correctif pris en charge est désormais disponible auprès de Microsoft. Ce correctif n'autorisera que le scénario dans lequel les informations d'authentification d'utilisateur sont transmises en tant que paramètres dans l'appel de méthode Open(). Il n'autorisera pas les scénarios dans lesquels les informations d'authentification d'utilisateur sont intégrées dans l'URL.

Remarque Ce correctif concerne uniquement les versions suivantes de Microsoft XML Parser (MSXML) :
  • Microsoft XML 2.5
  • Microsoft XML 2.6
  • Service Pack 2 Microsoft XML 3.0
  • Service Pack 3 Microsoft XML 3.0
  • Service Pack 4 Microsoft XML 3.0
  • Service Pack 2 Microsoft XML 4.0
Vous pouvez télécharger les fichiers suivants à partir du Centre de téléchargement Microsoft :
Réduire cette imageAgrandir cette image
Télécharger
Télécharger le package Hotfix for Microsoft XML 2.5 - KB832414 - Français maintenant.

Réduire cette imageAgrandir cette image
Télécharger
Télécharger le package Hotfix for Microsoft XML 2.6 - KB832414 - Français maintenant.

Réduire cette imageAgrandir cette image
Télécharger
Télécharger le package Hotfix for Microsoft XML 3.0 Service Pack 2 - KB832414 - Français maintenant.

Réduire cette imageAgrandir cette image
Télécharger
Télécharger le package Hotfix for Microsoft XML 3.0 Service Pack 3 - KB832414 - Français maintenant.

Réduire cette imageAgrandir cette image
Télécharger
Télécharger le package Hotfix for Microsoft XML 3.0 Service Pack 4 - KB832414 - Français maintenant.

Réduire cette imageAgrandir cette image
Télécharger
Télécharger le package Hotfix for Microsoft XML 4.0 Service Pack 2 - KB832414 - Français maintenant.

Pour plus d'informations sur la façon de télécharger des fichiers du Support technique Microsoft, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
119591 Comment obtenir des fichiers de support technique Microsoft auprès des services en ligne
Microsoft a analysé ce fichier en vue de détecter la présence de virus. Microsoft a utilisé les logiciels de détection de virus les plus récents disponibles à la date de publication de ce fichier. Le fichier est conservé sur des serveurs sécurisés, empêchant toute modification non autorisée du fichier.

Contournement

Pour contourner le problème, appliquez le format suivant.
Xmlhttp.open("GET", "http://www.northwindtraders.com/default.asp", false, "", "");

Statut

Microsoft a confirmé que le scénario dans lequel les informations d'authentification d'utilisateur sont transmises en tant que paramètres dans l'appel de méthode Open() et ne sont pas intégrées dans l'URL constitue un problème dans les produits Microsoft figurant dans la liste des produits concernés par cet article.

Références

Pour plus d'informations, reportez-vous au Bulletin de sécurité Microsoft suivant :
http://www.microsoft.com/france/technet/themes/secur/info/info.asp?mar=/france/technet/themes/secur/info/ms04-004.html
Pour plus d'informations, cliquez sur les numéros ci-dessous pour afficher les articles correspondants dans la Base de connaissances Microsoft.
834489 Disponibilité d'une mise à jour de sécurité qui modifie le comportement par défaut d'Internet Explorer pour la gestion des informations utilisateur dans les URL HTTP et HTTPS
269238 INFO : Liste des versions de Microsoft XML Parser
278674 Vérification de la version de l'analyseur MSXML installé sur un ordinateur
Sauf mention contraire, les noms de sociétés, d'organisations, de produits, de personnes ou les événements mentionnés dans les exemples sont fictifs. Toute ressemblance avec des noms ou des événements réels est purement fortuite et involontaire.

Propriétés

Numéro d'article: 832414 - Dernière mise à jour: mercredi 29 mars 2006 - Version: 11.3
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft XML Parser 2.5
  • Microsoft XML Parser 2.6
  • Microsoft XML Parser 3.0
  • Microsoft XML Core Services 4.0
Mots-clés : 
kbbug kbfix kbsecvulnerability kbqfe kbsecurity kbsecbulletin kbhotfixserver KB832414
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com