ASP
ASP classique est inclus dans IIS 7.0 et versions ultérieures et peut être utilisé dans les scénarios d’hébergement partagé. Toutefois, les hébergeurs qui envisagent de le faire doivent prendre en compte les recommandations suivantes :
- Désactivez le cache de modèle ASP. Étant donné que le cache de modèle de disque ASP ne prend pas en charge l’hébergement partagé, il doit être désactivé. Cela ne doit pas poser de problème, car jusqu’à 500 pages ASP par processus de travail sont mises en cache dans la mémoire avant que quoi que ce soit ne soit écrit sur le disque.
- Déléguez le paramètre scriptErrorSentToBrowser. L’équipe IIS a renforcé la sécurité ASP classique dans IIS 7.0 et versions ultérieures. La propriété scriptErrorSentToBrowser a la valeur false, par exemple. Cela signifie qu’aucune erreur de script n’est affichée dans le navigateur de l’utilisateur. Dans un environnement hébergé, il peut s’agir d’un problème. Il n’existe pas beaucoup d’autres façons de résoudre les erreurs ASP classiques. Notez qu’il n’est pas recommandé de déléguer la section <asp> dans applicationhost.config, en raison de certains paramètres, tels que l’emplacement du cache du modèle et le paramètre runOnEndAnonymously, que les hébergeurs peuvent ne pas vouloir déléguer. Des instructions sont fournies ci-dessous sur la façon de déléguer le paramètre scriptErrorSentToBrowser sans déléguer la section <asp> complète.
Pour désactiver le cache de modèle ASP :
Ouvrez une invite de commandes et exécutez ce qui suit :
%windir%\system32\inetsrv\appcmd set config -section:asp -cache.maxDiskTemplateCacheFiles:0
Pour déléguer le paramètre scriptErrorSentToBrowser :
Autorisez la délégation de la section <asp> dans applicationhost.config via overrideModeDefault en ouvrant
%windir%\system32\inetsrv\config\applicationhost.config
avec un éditeur de texte et en modifiant l’élément <section name="asp" overrideModeDefault="Deny" /> comme suit :<section name="asp" overrideModeDefault="Allow" />
Utilisez lockAllAttributesExcept et lockElements pour autoriser uniquement la délégation du paramètre scriptErrorSentToBrowser, recherchez l’élément <asp> et modifiez-le comme suit :
<asp lockAllAttributesExcept="scriptErrorSentToBrowser" lockElements="limits,cache" />
À présent, vous pouvez en tant qu’hébergeur utiliser appcmd pour définir le paramètre scriptErrorSentToBrowser sur true (voir l’exemple ci-dessous)
%windir%\system32\inetsrv\appcmd set config "Default Web Site" -section:asp -scriptErrorSentToBrowser:true
ou vous pouvez demander à vos clients de placer l’instruction suivante dans leurs fichiers web.config :
<system.webServer> <asp scriptErrorSentToBrowser="true"/> </system.webServer>
Ressources
Pour plus d’informations, voir :