Trucsweb.com

Trucsweb.com

ASP

RDFFav

Forcer le téléchargement d’un fichier

Forcer le téléchargement d’un PDF au lieu de l’ouvrir dans le navigateur.download, ContentType, AddHeader, octet-streamForcer le téléchargement d’un fichier

Forcer le téléchargement d’un PDF au lieu de l’ouvrir dans le navigateur. Tout passe par l’entête HTTP qui identifie le type de chaîne que le serveur doit retourner.

Il suffit d’un clic droit sur le lien pour forcer le téléchargement, pourquoi se donner autant de mal? Parce que c’est bien plus qu’un simple téléchargement. C’est aussi intercepter une requête HTTP et utiliser les ressources du serveur avant de retourner le fichier. Et les applications sont nombreuses.

  • Protégez vos images, dans un dossier sous la racine du serveur qui autorise le téléchargement une fois connecté par exemple;
  • crypter ou décrypter vos documents avant de les télécharger;
  • compter le nombre d’ouverture d’un fichier X par un usager Y;
  • etc.

Exemple d’en-tête HTTP envoyé avec une page web par un serveur Apache.

HTTP/1.0 200 OK
Date: Fri, 31 Dec 1999 23:59:59 GMT
Server: Apache/0.8.4
Content-Type: text/html
Content-Length: 59
Expires: Sat, 01 Jan 2000 00:59:59 GMT
Last-modified: Fri, 09 Aug 1996 14:21:40 GMT

<title>Exemple</title>
<p>Ceci est une page d’exemple.</p>

Le « ContentType »

Introduit avec le protocole HTTP 1.0, l’utilisation d’en-têtes spécifiés par le Content-Type permet non seulement de transmettre un document de type text/html comme l’exemple précédent mais aussi binaire (application/octet-stream). La plupart des types de fichier ont leurs propres types MIMES, par exemple un fichier de type application/pdf, mais les types peuvent réagir différemment selon le navigateur.

EN ASP on peut simuler ou forcer un type de contenu avec Response.ContentType. NOTE : avant IIS5 Il fallait absolument placer les instructions tout en haut de la page, avant tout autre code.

Response.ContentType = "application/octet-stream"

Différents types MIME

dim sContentType
Select Case sExtension
  Case ".asf"
    sContentType = "video/x-ms-asf"
  Case ".avi"
    sContentType = "video/avi"
  Case ".doc"
    sContentType = "application/msword"
  Case ".zip"
    sContentType = "application/zip"
  Case ".xls"
    sContentType = "application/vnd.ms-excel"
  Case ".gif"
    sContentType = "image/gif"
  Case ".jpg", "jpeg"
    sContentType = "image/jpeg"
  Case ".wav"
    sContentType = "audio/wav"
  Case ".mp3"
    sContentType = "audio/mpeg3"
  Case ".mpg", "mpeg"
    sContentType = "video/mpeg"
  Case ".rtf"
    sContentType = "application/rtf"
  Case ".htm", "html"
    sContentType = "text/html"
  Case ".asp"
    sContentType = "text/asp"
  Case ".pdf"
    sContentType = "application/pdf"
  Case Else
    sContentType = "application/octet-stream"
End Select

Response.ContentType = sContentType

Ajouter l’en-tête

On a un type de document mais il faut aussi spécifier le fichier à télécharger en ajoutant une couche à l’en-tête avec AddHeader. Attention, le fichier n’est pas encore physiquement attaché à la réponse. Il ne s’agit, encore une fois, que d’indication au navigateur, à savoir « comment traité le contenu ». Nous pourrions aussi spécifier le poids avec Content-Length. Notez en passant le délai d’exécution du script (Server.ScriptTimeout) qui ajouter 18000 secondes. :

Response.Buffer = true
Server.ScriptTimeout = 18000
// Vide le « tampon http »
Response.Clear
// Indique un nouveau type de contenu
Response.ContentType = "application/octet-stream"
// Indique un fichier à télécharger avec une suggestion de nom
Response.AddHeader "Content-Disposition", "attachment; filename=document.pdf"
... // Envoie la réponse Response.Flush

Faille de sécurité

Cette technique permet de télécharger tout document à partir d’une page web ASP. Un .exe pourra être exécuté hors contexte, un code ASP pourrait être capturé. Vous devez protéger vos fichiers, ASP entres autres, pour éviter qu’un internaute astucieux ne détourne votre script à des fins malhonnêtes. Forcer le téléchargement d’un fichier .asp par exemple permet d’ouvrir la page sans exécuter le code ASP qui sera tout simplement retourné en texte clair à l’internaute! Il faut donc s’assurer de n’accepter que les bons types de documents, essentiellement en vérifiant l’extension et surtout en limitant l’accès à un dossier. Par exemple un dossier /doc/. N’ENVOYEZ JAMAIS LE CHEMIN D’ACCÈS (PATH) VIA UNE REQUÊTE HTTP.

Une bonne pratique consiste à ouvrir le fichier au préalable à l’aide de l’objet FSO, vérifier tout d’abord que le fichier existe puis récupérer l’extension.

<%
// twFichierValide([Nom de fichier], [dossier], [extensions valide])
dim sFichier : sFichier = twFichierValide(request.querystring("f"),"/documents/doc/","pdf,doc,jpg,gif,png,xml")
if sFichier <> "" then
  // fichier accepté
else
  response.write "Erreur"
end if

function twFichierValide(sFichierTemp,sDossier,sExtensions)
  twFichierValide = ""
  if sFichierTemp <> "" then
    dim oFso : Set oFso = Server.CreateObject("Scripting.FileSystemObject")
    dim sCheminFichier : sCheminFichier = Server.MapPath(sDossier) & "\" & sFichierTemp
    if oFso.FileExists(sCheminFichier) then
      dim oFichier : Set oFichier = oFso.GetFile(sCheminFichier)
      dim sExt : sExt = oFso.GetExtensionName(sCheminFichier)
      if InStr(sExtensions,sExt) > 0 then
        twFichierValide = sCheminFichier
        exit function
      end if
      set oFichier = nothing
    end if
    set oFso = nothing
  end if
End function

%>

J’ai utilisé un simple instr pour tester l’extension. On aurait pu utiliser la méthode du « split » dans une matrice ou l’usage d’expressions régulières qui demande autant sinon plus de trouble!

Le contenu

Voilà pour l’en-tête, le fichier physique maintenant. On a donc un fichier valide avec son chemin d’accès. Il reste seulement à ouvrir le fichier dans un stream et l’afficher en binaire avec Response.BinaryWrite. Puis on « flush » le tampon http pour envoyer la réponse, c’est-à-dire les en-têtes, et le fichier en binaire. Le navigateur se bornera à traiter le fichier comme l’en-tête le suggère.

dim Stream
Set oStream = Server.CreateObject("ADODB.Stream")
oStream.Open
oStream.Type = 1
Response.CharSet = "UTF-8"
oStream.LoadFromFile(sFichier)
Response.BinaryWrite(oStream.Read)
Response.flush
oStream.Close
Set oStream = Nothing

Code complet : twTelechargement.asp


Il suffit de passer le nom de fichier dans la requête : twTelechargement.asp?f=monFichier.pdf

<%
Response.Buffer = true
Server.ScriptTimeout = 18000
dim sFichier : sFichier = twFichierValide(request.querystring("f"), "/documents/doc/", "pdf,doc,jpg,gif,png,xml")
if sFichier = "" then
  Response.Clear
  Response.Write("Aucun fichier!")
  Response.End
end if

function twFichierValide(sFichierTemp,sDossier,sExtensions)
  twFichierValide = ""
  if sFichierTemp <> "" then
    dim oFso : Set oFso = Server.CreateObject("Scripting.FileSystemObject")
    dim sCheminFichier : sCheminFichier = Server.MapPath(sDossier) & "\" & sFichierTemp
    if oFso.FileExists(sCheminFichier) then
      dim oFichier : Set oFichier = oFso.GetFile(sCheminFichier)
      dim sExt : sExt = oFso.GetExtensionName(sCheminFichier)
      if InStr(sExtensions,sExt) > 0 then
        Response.Clear
        Response.ContentType = "application/octet-stream"
        Response.AddHeader "Content-Disposition", "attachment; filename="&oFichier.name
        Response.AddHeader "Content-Length", oFichier.Size
        dim oStream
        Set oStream = Server.CreateObject("ADODB.Stream")
        oStream.Open
          oStream.Type = 1 // Binaire
          Response.CharSet = "UTF-8"
          oStream.LoadFromFile(sCheminFichier)
          Response.BinaryWrite(oStream.Read)
          Response.flush
        oStream.Close
        Set oStream = Nothing
        twFichierValide = sCheminFichier
        exit function
      end if
      set oFichier = nothing
    end if
    set oFso = nothing
  end if
End function
%>

Bien sûr cette technique sous-entend que vous contrôlez et avez confiance dans les fichiers déposés sur le serveur.

Limite de poids

IIS limite généralement le poids d’un téléchargement à 4 Mo. Vous pouvez modifier la préférence ou livrer le fichier par paquet. Chose très facile avec un flot binaire et notre objet « stream » (ce code est probablement compatible uniquement IIS 5 et plus) :

do while mot oStream.EOS ’ fin du flot
  response.binaryWrite oStream.read(3670016) ’ Lecture par paquet de 3670016 octets.
  response.flush
loop

, Analyste programmeurConception oznogco multimédia (https://oznogco.com), Trucsweb
Dernière mise à jour :

Commentaires

    Ajouter un commentaire
    Votre adresse de courriel ne sera pas publiée. * L'astérisque indique les champs obligatoires.
    Votre évaluation du tutoriel

    10/10 sur 1 revues.
           Visites : 11970 - Pages vues : 12209

    En ligne depuis 27 ans (1997-2024)

    Le plus vieux site francophone pour freelances!

    Il y a 10 types de personnes, ceux qui comprennent le binaire et ceux qui ne le comprennent pas ;-)

    RSS

    Aider les Trucsweb

    PayPal - la solution de paiement en ligne la plus simple et la plus sécurisée !
    aiement en ligne sécurisée PayPal Vérifié par PayPal
    Étiquettes
    downloadContentTypeAddHeaderoctet-stream
    outils
    1. Generateur Trucsweb
    2. Glossaire
    3. jQuery : Équivalent Javascript
    4. HTML5 : Liste des balises
    5. HTML5 : Formation pour débutant
    6. AbuseIPDB AbuseIPDB
    7. Phishing-initiative Initiative hameçonnage (Phishing initiative)
    Références
    1. W3C HTML5
    2. W3C HTML 4.0
    3. W3C CSS Level 3
    4. W3C CSS LEVEL 2.1
    5. W3C XHTML 1.0
    6. W3C SMIL 2.0
    7. W3C XML 1.0
    8. W3C The Extensible Stylesheet Language Family (XSL)
    9. W3C XPath 3.0
    10. W3C XSL Version 1.1
    11. W4C XSLT 2.0
    12. RFC Editor Site
    13. Web Design Group
    14. Treehouse: Development Courses
    15. W3Schools
    16. W3CTutorial
    17. XML Cover Pages
    18. The W3C Markup Validation Service
    19. Validateur de syntaxe Javascript Esprima
    20. Validateur JavaScript Lint
    21. Le meilleurs Validateur JavaScript Code Beautify
    22. Real Favicon checker
    23. Local Business Schema Generator
    24. Générateur de microdonnées
    25. Testing Tool — Google Developers
    26. Google - Outil de test du balisage d'e-mails
    27. Google - Search Console (webmasters/tools)
    28. PageSpeed Insights
    29. RDFa Distiller and Parser
    30. RDF extracteur (pyRDFa)
    31. Soumettre votre URL à Google
    32. Soumettre votre URL à Bing
    33. Soumettre votre URL à Yahoo
    34. FXSL - Functional Programming Library for XSLT
    35. Wikipedia - Internet media type
    1. Mozilla Developer Network JavaScript reference
    2. VBScript Quick Reference
    3. ASP.NET Reference
    4. JCSS & Javascript Character Entity Calculator
    5. JScript Reference
    6. Hammer.min.js
    7. ASP Object Quick Ref.
    8. ADO API Reference
    9. IIS Configuration Reference
    10. MSDN Library
    11. Bootstrap
    12. Bootsnipp
    13. Bootstrap Cheat Sheets
    14. Iconic
    15. Zurb Foundation 5
    16. Skeleton
    17. Responsive CSS Framework Comparison
    18. HTML5 Boilerplate
    19. Modernizr
    20. Normalize.css
    21. Eric Meyer's CSS reset
    22. Bootstrap (français)
    23. Jasny Bootstrap
    24. jQuery
    25. DataTables | Table plug-in for jQuery
    1. HTML 4.0 code de caractères
    2. Unicode fonts
    3. Manuel PHP
    4. Documentation Perl
    5. ActionScript® 3.0 Reference
    6. MySQL Reference Manuals
    7. Find My Facebook Page ID
    8. Get a User's Twitter ID
    9. Share Link Generator!
    10. Validation de courriel
    11. G Suite Toolbox Check MX
    12. G Suite Toolbox Messageheader
    13. SPF Syntax Validator
    14. SPF Record Testing Tools
    15. La Loi canadienne anti-pourriel
    16. DNS / nameserver (requête en ligne)
    17. Whatsmydns.net (Propagation DNS globale)
    18. MXtoolbox.com
    19. DNSstuff.com
    20. SHAAAAAAAAAAAAA - Détection de certificat SHA-1
    21. Décoder Hachage MD5, SHA-1, LM, NTML
    22. Get Lat Long from Address
    23. Java Language Spec.
    24. Sun Java
    25. JSP Standard Tag Library
    26. C++ Language Reference
    27. C# Reference
    28. Les Navigateurs
    29. Terminologie d'Internet
    30. IP Location tools
    31. Open Port Check Tool
    32. Webfont generator
    33. HSL picker
    34. Zone Accro
    35. Dictionnaire de la langue française de l'internaute.com
    36. Glossaire informatique anglais/français
    37. Correcteur d'orthographe et grammaire Reverso
    38. Google Traduction
    39. JavaScript: Escaping Special Characters
    40. Online JavaScript/CSS Compression Using YUI Compressor
    41. Minify your CSS
    42. JS & CSS Minifier
    43. CSS Inliner Tool
    44. Base64 encoder and decoder
    45. Hachage MD5, SHA-1, LM, NTML
    46. Javascript HTML Page Encoder
    47. Winmail.dat Reader
    Oznog

    Blogueur, analyste-programmeur et designer Web!
    Conception Oznogco Multimédia
    X

    Trucsweb.com Connexion

    Connexion

    X

    Trucsweb.com Mot de passe perdu

    Connexion

    X

    Trucsweb.com Conditions générales

    Conditions

    Responsabilité

    La responsabilité des Trucsweb.com ne pourra être engagée en cas de faits indépendants de sa volonté. Les informations mises à disposition sur ce site le sont uniquement à titre purement informatif et ne sauraient constituer en aucun cas un conseil ou une recommandation de quelque nature que ce soit.

    Aucun contrôle n'est exercé sur les références et ressources externes, l'utilisateur reconnaît que les Trucsweb.com n'assume aucune responsabilité relative à la mise à disposition de ces ressources, et ne peut être tenue responsable quant à leur contenu.

    Droit applicable et juridiction compétente

    Les règles en matière de droit, applicables aux contenus et aux transmissions de données sur et autour du site, sont déterminées par la loi canadienne. En cas de litige, n'ayant pu faire l'objet d'un accord à l'amiable, seuls les tribunaux canadien sont compétents.

    X

    Trucsweb.com Trucsweb

    X

    Trucsweb.com Glossaire

    X

    Trucsweb.com Trucsweb

    X

    Trucsweb.com Trucsweb

    Conditions

    Aucun message!

    Merci.

    X
    Aucun message!
    X

    Trucsweb.com Créer un compte

    Créer un compte

    .
    @