如何AllowUnsafeUpdates

AllowUnsafeUpdates的定义

根据msdn的解释，当在SharePoint 页面HttpContext上下文中通过GET请求更新SharePoint contentDB时，为了允许更新数据库或者避免安全验证，"AllowUnsafeUpdates" 需要设置成true,

否则，会抛The security validation for this page is invalid异常.

该属性默认为false, 微软引入这个属性是为防止受到cross-site scripting 攻击. 但是,某些情况下, 可能需要更新一些不安全的数据, 这时候可以把它置成false

什么时候使用

在SharePoint 页面HttpContext上下文中通过GET请求更新SharePoint contentDB时

什么时候不需要使用

在一个Console Application, Class Library... ,在这些工程中,HTTPContext.Current = null,  AllowUnsafeUpdates默认都为true, 所以不需要设置这个属性.

AllowUnsafeUpdates注意事项：

  . 在HTTPContext 上下文中使用, 且操作是Get请求(即页面不跳转-Post) , POST 请求不需要这个属性,因为 FormDigest控件的存在, 使用完后置回成false(安全考虑)

. 但有打破继承的操后后,该属性会重置成默认值-false, 所以后续如果有更新操作需要重新置成true.

Bad piece of code:

SPList sharedPictures = curWeb.Lists["Shared Pictures"];
sharedPictures.Title = "My Pictures";
curWeb.AllowUnsafeUpdates = true; //--> no help!
sharedPictures.BreakRoleInheritance(true);
ReducePermissonsOnLibrary(sharedPictures); //---> crash!

Working piece of code:

SPList sharedPictures = curWeb.Lists["Shared Pictures"];
sharedPictures.Title = "My Pictures";
sharedPictures.BreakRoleInheritance(true);
CurWeb.AllowUnsafeUpdates = true; //BreakRoleInheritance set AllowUnsafeUpdates back to false!
ReducePermissonsOnLibrary(sharedPictures);

        . 该属性置成true后,如果后续操作抛异常, 在catch里面该属性也会重置成默认值 -false, 需要注意.

SPWeb web = ...;
try
{
     web.AllowUnsafeUpdates = true;
     throw new Exception("Something went really wrong underway !");
}
catch (Exception ex)
{
     // At this point the web.AllowUnsafeUpdates is false. Before we can update the item we will need to set it to true !
     web.AllowUnsafeUpdates = true;

     SPListItem errorItem = web.Lists["ErrorLog"].Items.Add();
     errorItem["Title"] = "Web.Title update failed";
     errorItem["Description"] = ex.ToString();
     errorItem.Update();
}

. 当一个页面继承WebPartPage类后，不需要再使用AllowUnsafeUpdates.