Introduction

Langages du Web côté serveur - Introduction

L'exécution de code par le client offre principalement deux avantages :

• le serveur a moins de travail,
• le trafic réseau est réduit.

Les inconvénients sont liés à deux problèmes :

• les clients sont hétérogènes (architecture matérielle, système d'exploitation, type de navigateur), ce qui impose d'utiliser un langage de programmation standardisé;
• l'exécution de code arbitraire par le client pose d'importants problèmes de sécurité.
  Un utilisateur ne va pas accepter qu'un serveur quelconque lui demande d'exécuter des instructions arbitraires (permettant par exemple d'accéder aux données personnelles sur le disque local).
  Deux types de solutions envisageables :
  • autoriser l'exécution de code venant de serveurs "de confiance" (ce qui suppose une authentification fiable et une procédure de certification lourde pour devenir un site "de confiance").
  • imposer le contrôle strict de l'environnement dans lequel va s'exécuter le code sur le client: on ne va autoriser qu'un certain nombre d'opérations (restrictions des appels systèmes disponibles); c'est l'approche "boite à sable" (sandbox) utilisée entre autres par JAVA.

En pratique, l'exécution de code côté client est déclenchée par un document HTML à l'aide des balises <script> ou <object> (ancien <applet>).

• La balise <script> a un attribut obligatoire type qui permet d'indiquer dans quel langage est exprimé le script. Actuellement, le seul langage supporté par la majorité des navigateurs web est le JavaScript. JavaScript est volontairement limité, pour éviter les problèmes de sécurité.
• Les applets JAVA exécutent du code JAVA arbitraire, dans un environnment restreint (pas d'ouvertures de fichiers, ni de connexions réseaux vers d'autres machines que celle d'où a été chargée le code de l'aplet, etc). La plupart des navigateurs web grand public disposent d'une interface avec une machine virtuelle JAVA permettant l'exécution des applets.

Exécution côté serveur: CGI et autres outils

Une autre approche est d'augmenter les fonctionnalités du serveur. Au lieu de servir des documents stockés (des pages dites statiques), le serveur va exécuter des instructions pour répondre à chaque requête et générer la réponse (code HTML) appropriée; on parle alors de pages dynamiques.

Common Gateway Interface (CGI)

Le mécanisme le plus simple est nommé CGI (Common Gateway Interface). Pour chaque requête correspondant à un CGI, le serveur web va lancer un exécutable.

Les programmes CGI peuvent être écrits dans n'importe quel langage. La plupart du temps, on emploie des langages de haut niveau comme Perl ou Python, qui permettent le développement rapide de programmes fiables manipulant des textes; mais rien n'interdit d'utiliser le langage C.

Les étapes suivies par le programme sont :

1. récupérer les données envoyées par le client
2. traiter les données
3. écrire le résultat (code HTML) sur la sortie standard (qui a été reliée au client par le serveur web)

La récupération des données du client est différente selon le type de requête (GET ou POST). Nous n'évoquerons ici que le cas d'une requête GET :

http://www.gtr.org/AjoutEtudiant?nom=Dupond&prenom=Bernard

Le CGI (AjoutEtudiant) va accéder aux arguments (nom=Dupond, prenom=Bernard) via la variable d'environnement QUERY_STRING. Dans l'exemple ci-dessus, on aurait QUERY_STRING = "nom=Dupond&prenom=Bernard".

Après traitement, le programme CGI doit générer la réponse en HTML, avec les en-têtes HTTP. On doit donc écrire (sur stdout) au minimum une première ligne

Content-type: text/html

suivie d'une ligne blanche, elle même suivie de la page HTML.

ASP, ASP.NET, PHP, Servlets, ...

Le mécanisme CGI est très simple, mais manque d'efficacité: un nouveau processus est créé pour chaque requête, ce qui est coûteux. D'autre part, ce mécanisme est assez rigide: il n'est pas très commode de composer une seule page HTML à partir du résultat de plusieurs scripts CGI; il est difficile de séparer la logique des traitements de la présentation des résultats.

Il existe de nombreuses autres solutions, basées sur des langages de scripts intégrés au serveur web. Les plus connues :

• ASP.NET est un ensemble de technologies de programmation web créé par Microsoft. Les programmeurs peuvent utiliser ASP.NET pour créer des sites webs dynamiques, des applications webs ou des web services XML.
  ASP.NET fait partie de la plateforme Microsoft .NET et est le successeur de la technologie Active Server Pages (ASP) (scripts en Visual Basic intégrés dans les pages HTML);
• PHP: un langage de script développé pour être intégré dans des pages HTML (logiciel libre, voir http://www.php.net). La syntaxe ressemble vaguement à celle du langage C. Si le serveur web est configuré avec PHP, toutes les instructions situées dans les balises <?php ....> sont exécutées et remplacées avant envoi au client. Par exemple, le code

  <html>
   <body>
     <?php print "Salut "; ?>
     les copains
   </body>
  </html>
  
  

  sera transformé en :

  <html>
   <body>
     Salut
     les copains
   </body>
  </html>
  
  

• Servlets (ou Java Server Pages : solution développée par Sun MicroSystems, utilisant du code JAVA exécuté par le serveur et pouvant être intégré dans les pages HTML.