L'appel XMLHTTP échoue pour les URL intégrant des informations d'authentification d'utilisateur

Cet article peut contenir des liens vers des informations en langue anglaise (pas encore traduites).

Symptômes

Lorsque vous effectuez des appels XMLHTTP aux formats suivants :
Xmlhttp.open("GET", 
"http://someone:mypass@www.northwindtraders.com/default.asp",
false, "", "");
Xmlhttp.open("GET",
"http://someone:mypass@www.northwindtraders.com/default.asp",
false, "someone", "passwd");
Xmlhttp.open("GET",
"http://www.northwindtraders.com/default.asp",
false, "someone", "mypass");
L'appel échoue et le message d'erreur suivant s'affiche :
Erreur de syntaxe
Toutefois, l'appel suivant aboutit :
Xmlhttp.open("GET", "http://www.northwindtraders.com/default.asp", false, "", "");

Cause

La mise à jour de sécurité Microsoft Internet Explorer décrite dans l'article suivant de la Base de connaissances Microsoft
832894 MS04-004 : Mise à jour de sécurité cumulative pour Internet Explorer
interdit les URL intégrant des informations d'authentification d'utilisateur.

Plus d'informations

Même après avoir appliqué le correctif fourni dans cet article, les appels XMLHTTP avec des URL aux formats suivants échouent encore.
Xmlhttp.open("GET",
"http://someone:mypass@www.northwindtraders.com/default.asp",
false);
Xmlhttp.open("GET",
"http://someone:mypass@www.northwindtraders.com/default.asp",
false, "someone", "passwd");
Vous devez appliquer le correctif et vous devez également modifier l'URL au format suivant.
Xmlhttp.open("GET", "http://www.northwindtraders.com/default.asp", false, "someone", "mypass");

Résolution

Un correctif pris en charge est désormais disponible auprès de Microsoft. Ce correctif n'autorisera que le scénario dans lequel les informations d'authentification d'utilisateur sont transmises en tant que paramètres dans l'appel de méthode Open(). Il n'autorisera pas les scénarios dans lesquels les informations d'authentification d'utilisateur sont intégrées dans l'URL.

Remarque Ce correctif concerne uniquement les versions suivantes de Microsoft XML Parser (MSXML) :
  • Microsoft XML 2.5
  • Microsoft XML 2.6
  • Service Pack 2 Microsoft XML 3.0
  • Service Pack 3 Microsoft XML 3.0
  • Service Pack 4 Microsoft XML 3.0
  • Service Pack 2 Microsoft XML 4.0
Vous pouvez télécharger les fichiers suivants à partir du Centre de téléchargement Microsoft :
Télécharger Télécharger le package Hotfix for Microsoft XML 2.5 - KB832414 - Français maintenant.

Télécharger Télécharger le package Hotfix for Microsoft XML 2.6 - KB832414 - Français maintenant.

Télécharger Télécharger le package Hotfix for Microsoft XML 3.0 Service Pack 2 - KB832414 - Français maintenant.

Télécharger Télécharger le package Hotfix for Microsoft XML 3.0 Service Pack 3 - KB832414 - Français maintenant.

Télécharger Télécharger le package Hotfix for Microsoft XML 3.0 Service Pack 4 - KB832414 - Français maintenant.

Télécharger Télécharger le package Hotfix for Microsoft XML 4.0 Service Pack 2 - KB832414 - Français maintenant.

Pour plus d'informations sur la façon de télécharger des fichiers du Support technique Microsoft, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
119591 Comment obtenir des fichiers de support technique Microsoft auprès des services en ligne
Microsoft a analysé ce fichier en vue de détecter la présence de virus. Microsoft a utilisé les logiciels de détection de virus les plus récents disponibles à la date de publication de ce fichier. Le fichier est conservé sur des serveurs sécurisés, empêchant toute modification non autorisée du fichier.

Contournement

Pour contourner le problème, appliquez le format suivant.
Xmlhttp.open("GET", "http://www.northwindtraders.com/default.asp", false, "", "");

Statut

Microsoft a confirmé que le scénario dans lequel les informations d'authentification d'utilisateur sont transmises en tant que paramètres dans l'appel de méthode Open() et ne sont pas intégrées dans l'URL constitue un problème dans les produits Microsoft figurant dans la liste des produits concernés par cet article.

Références

Pour plus d'informations, reportez-vous au Bulletin de sécurité Microsoft suivant : Pour plus d'informations, cliquez sur les numéros ci-dessous pour afficher les articles correspondants dans la Base de connaissances Microsoft.
834489 Disponibilité d'une mise à jour de sécurité qui modifie le comportement par défaut d'Internet Explorer pour la gestion des informations utilisateur dans les URL HTTP et HTTPS

269238 INFO : Liste des versions de Microsoft XML Parser

278674 Vérification de la version de l'analyseur MSXML installé sur un ordinateur

Sauf mention contraire, les noms de sociétés, d'organisations, de produits, de personnes ou les événements mentionnés dans les exemples sont fictifs. Toute ressemblance avec des noms ou des événements réels est purement fortuite et involontaire.
Propriétés

ID d'article : 832414 - Dernière mise à jour : 29 mars 2006 - Révision : 1

Commentaires