Podniesienie uprawnień sharepoint

Bardzo często podczas pisania programów w technologii sharepoint (np. Visual Web Part) zdarza się konieczność czasowego podniesienia uprawnień użytkownika dla wykonania konkretnej czynności. Przykładem, mogą być uprawnienia do listy. Normalny użytkownik posiada uprawnienia tylko do odczytu elementów listy (elementy listy sharpoint są podobne do rekordów w bazie danych), a co za tym idzie nie posiada uprawnień do tworzenia/modyfikowania elementów listy. Aby taki użytkownik mógł utworzyć/zmodyfikować element na takiej liście za pomocą napisanej przez nas aplikacji (np. mógł utworzyć nową 'fakturę' za pomocą aplikacji, do zarządzania fakturami, opartej na listach sharepoint), trzeba czasowo podnieść jego uprawnienia. Podniesienie uprawnień w kodzie C# w praktyce oznacza pobranie SPSite z podwyższonymi uprawnieniami (tzw. SuperSite).
Przykład:




SPSecurity.RunWithElevatedPrivileges(delegate()
{
    using (SPSite superSite = new SPSite(SPContext.Current.Site.ID))
    {
        using (SPWeb superWeb = superSite.OpenWeb(SPContext.Current.Web.ID))
        {
            // Your code here
        }
    }
});

 
Podczas pobierania SuperSite lepiej jest jednak wykorzystać wrapper, w postaci klasy SPSecurityHelper, zademonstrowanej przez Dana Larsona na jego tech-blogu
Klasa SPSecurityHelper:

using Microsoft.SharePoint;


    /// <summary>A class for working with elevated privilege</summary>
    public static class SPSecurityHelper
    {
        /// <summary>Returns an elevated site</summary>
        /// <param name="theSite">
        /// The site that you want an elevated instance of.
        /// You must dispose of this object unless it is part of SPContext.Current.
        /// </param>
        /// <returns>An elevated site context.</returns>
        /// <remarks>Be sure to dispose of objects created from this method.</remarks>
        public static SPSite GetElevatedSite(SPSite theSite)
        {
            var sysToken = GetSystemToken(theSite);
            return new SPSite(theSite.ID, sysToken);
        }

        /// <summary>Gets a UserToken for the system account.</summary>
        /// <param name="site"></param>
        /// <returns>A usertoken for the system account user./returns>
        /// <remarks>Use this token to impersonate the system account</remarks>
        public static SPUserToken GetSystemToken(SPSite site)
        {
            site.

CatchAccessDeniedException = false;
            try
            {
                return site.SystemAccount.UserToken;
            }
            catch (UnauthorizedAccessException)
            {
                SPUserToken sysToken = null;

                // Only use runwithelevated to grab the system user token.
                SPSecurity.RunWithElevatedPrivileges(
                    delegate()
                    {
                        using (SPSite lolcatKiller = new SPSite(site.ID))
                        {
                            sysToken = lolcatKiller.SystemAccount.UserToken;
                        }
                    }
                );
                return sysToken;
            }
        }
    }

 Wykorzystanie klasy SPSecurityHelper:

 using (SPSite superSite = SPSecurityHelper.GetElevatedSite(SPContext.Current.Site))
{
    using (SPWeb superWeb = superSite.OpenWeb(SPContext.Current.Web.ID))
    {
               // Your code here
    }
}

 Sposób wykorzystania jest bardzo prosty, tzn. do klasy SPSecurityHelper przekazujemy obiekt zwykłego SpSite, natomiast z powrotem dostajemy obiekt tego samego SpSite z podwyższonymi uprawnieniami. Dzięki wykorzystaniu klasy SPSecurityHelper kod jest krótszy oraz lepszy jakościowo.

Adres komputera, korzystającego z naszej strony

    Uzyskanie informacji nt. komputera, z którego wykonano jakąś czynność jest bardzo ważne, z punktu widzenia bezpieczeństwa. Informacja ta, jest ważna zarówno w przypadku systemów wewnętrznych (intranet), jak i systemów zewnętrznych (internet).
    W przypadku intranetu, jednym ze szczególnych przypadków jest "usuwanie rekordów z bazy danych" (np. usuwanie faktur w systemie księgowym), gdzie oprócz loginu osoby wykonującej akcję (dost. z systemu), chcemy mieć dla pewności informacje nt. komputera, z którego wykonano akcję.
    W przypadku internetu, chcemy mieć zazwyczaj informacje, nt. komputera, który próbuje się włamać do naszego systemu, lub wykonuje inną nieporządaną akcję (np. atak DDoS).

W jaki sposób uzyskać informację nt. komputera, korzystającego z naszego systemu? Wykorzystamy do tego celu klasy z przestrzeni nazw "System.Web" oraz "System.Net".

using System.Web;
using System.Net;

IPHostEntry hostEntry = Dns.GetHostEntry(HttpContext.Current.Request.ServerVariables["REMOTE_HOST"].ToString());

Praktyczny sposób wykorzystania zmiennej hostEntry prezentuje przykład, wykonany na zwykłej stronie asp.net (web forms):

using System;
using System.Collections.Generic;
using System.Linq;
using System.Web.UI;
using System.Web.UI.WebControls;
using System.Web;
using System.Net;
using System.Text;

public partial class _Default : System.Web.UI.Page
{
    protected void Page_Load(object sender, EventArgs e)
    {
        string ComputerName = "";
        IPAddress[] IpAdressList = null;
        StringBuilder sb = new StringBuilder();
        try
        {
            IPHostEntry hostEntry = Dns.GetHostEntry(HttpContext.Current.Request.ServerVariables["REMOTE_HOST"].ToString());
            ComputerName = hostEntry.HostName.ToString();
            IpAdressList = hostEntry.AddressList;
        }
        catch { }
        sb.AppendLine(string.Format("Nazwa komputera {0}", ComputerName));
        if (IpAdressList != null)
        {
            for(int i=0; i < IpAdressList.Length; i++)
            {
                sb.AppendLine(string.Format("Typ adresu IP {0}, adres IP {1}", IpAdressList[i].AddressFamily, IpAdressList[i].ToString()));
            }
        }
        string computerInfo = sb.ToString();
    }
}

   Posiadając informacje nt. komputera, możemy te informacje zapisać do bazy danych, lub do logów. W przypadku aplikacji asp.net preferuję wykorzystania gotowego rozwiązania, jakim jest log4net, natomiast w przypadku Sharepoint 2010 logowanie do natywnych logów sharepointa (jak sie to robi opisze w jednym z przyszłych wpisów).

Edit: Niestety te metody w praktyce nie okazały się na tyle dobre, jak być powinne. Nowe metody:

        public static string GetUser_IP()
        {
            string VisitorsIPAddr = string.Empty;
            if (HttpContext.Current.Request.ServerVariables["HTTP_X_FORWARDED_FOR"] != null)
            {
                VisitorsIPAddr = HttpContext.Current.Request.ServerVariables["HTTP_X_FORWARDED_FOR"].ToString();
            }
            else if (HttpContext.Current.Request.UserHostAddress.Length != 0)
            {
                VisitorsIPAddr = HttpContext.Current.Request.UserHostAddress;
            }
            return VisitorsIPAddr;
        }
        public static string GetUserIP()
        {
            string ipList = HttpContext.Current.Request.ServerVariables["HTTP_X_FORWARDED_FOR"];
            if (!string.IsNullOrEmpty(ipList))
            {
                return ipList.Split(',')[0];
            }
\            return HttpContext.Current.Request.ServerVariables["REMOTE_ADDR"];
        }

Używanie

        string visitorIp = GetUser_IP();
        int intAddress = BitConverter.ToInt32(IPAddress.Parse(visitorIp).GetAddressBytes(), 0);

Pobieranie aktualnego kursu walut z NBP

Bardzo często, podczas pisania aplikacji finansowo-księgowych zdarza nam się potrzeba przeliczania walut po ich aktualnym kursie. O ile w przypadku naprawdę dużych systemów klient najprawdopodobniej narzuci nam własne kursy (które będziemy importować np. z SAP), o tyle w przypadku pisania małych i średnich systemów przeliczanie walut po aktualnym kursie będziemy musieli wykonać samemu. Z pomocą przychodzi nam tutaj Narodowy Bank Polski, który codziennie pomiędzy godź. 10.30-12.30 wystawia plik XML z aktualnymi kursami na dany dzień. Co ważne, robi to w sposób podmiany starego pliku, tzn. że do godź. ~10.30 istnieje plik XML z wczorajszym kursem, po czym pomiędzy godzinami 10.30-12.30 zastępowany jest on nowym plikiem, o takiej samej nazwie, pod tym samym linkiem, ale z aktualnym kursem na dany dzień. Wspomniany plik XML można znaleźć pod tym linkiem.

Dzięki temu linkowi, będziemy znali aktualne kursy NBP, po których będziemy mogli dokonywać przeliczeń pomiędzy walutami po aktualnym kursie wg. NBP. Aby nieco uprościć całą sprawę, napisałem metodę, która pobiera zawartość tego pliku i udostępnia kursy w bardziej przystępnej, obiektowej formie. Mając tą metodę, możemy później napisać "timer job" (sharepoint timer job, lub aplikację konsolową uruchamianą za pomocą Windows Task Scheduler), który będzie umieszczał zawartość tego pliku w bazie danych, liście sharepointa, czy gdzie tylko chcemy.

Metoda, która pobiera aktualny kurs wygląda tak:

        private static List<Currency> ImportData(string url)
        {
            // Creates an HttpWebRequest with the specified URL.
            HttpWebRequest myHttpWebRequest = (HttpWebRequest)WebRequest.Create(url);
            // Sends the HttpWebRequest and waits for the response.           
            HttpWebResponse myHttpWebResponse = (HttpWebResponse)myHttpWebRequest.GetResponse();
            // Gets the stream associated with the response.
            Stream receiveStream = myHttpWebResponse.GetResponseStream();
            Encoding encode = System.Text.Encoding.GetEncoding("iso-8859-2");
            // Pipes the stream to a higher level stream reader with the required encoding format.
            StreamReader readStream = new StreamReader(receiveStream, encode);
            string readedData = readStream.ReadToEnd();
            myHttpWebResponse.Close();
            // Releases the resources of the Stream.
            readStream.Close();
            XmlDocument xmlDoc = new XmlDocument();
            xmlDoc.LoadXml(readedData);
            XmlNodeList currencyListXml = xmlDoc.GetElementsByTagName(Constraints.POSITION);
            var date = xmlDoc.GetElementsByTagName(Constraints.PUBLICATION_DATE);
            DateTime currencyDate = Convert.ToDateTime(date[0].FirstChild.Value);

            List<Currency> currencyList = new List<Currency>();
            foreach (XmlNode currencyXml in currencyListXml)
            {
                //XmlNodeList nodes = currencyXml.ChildNodes;
                Currency currency = new Currency();
                currency.CurrencyName = currencyXml.ChildNodes[0].FirstChild.Value;
                currency.Converter = currencyXml.ChildNodes[1].FirstChild.Value;
                currency.CurrencyCode = currencyXml.ChildNodes[2].FirstChild.Value;
                currency.CurrencyRate = Convert.ToDouble(currencyXml.ChildNodes[3].FirstChild.Value);
                currency.CurrencyDate = currencyDate;
                currencyList.Add(currency);
            }
            return currencyList;
        }

 Jako parametr podajemy adres url do pliku XML z listą walut. Wykorzystano parametr, ponieważ NBP wystawia kilka, różnych plików XML z aktualnymi kursami walut (LastA.xml, LastB.xml, LastC.xml) w zależności od tego, ile i które waluty nam są potrzebne korzystamy z odpowiedniego linku (LastA.xml podany w aplikacji pobiera 37 najpopularniejszych walut).

 Sama metoda, nie jest zbyt skomplikowana. Podajemy na wejście adres url, nast. za pomocą obiektów HttpWebRequest oraz HttpWebResponse pobieramy zawartość w pliku XML jako stream. Następnie tworzymy z niego XmlDocument, z którego po kolei wydobywamy interesujące nas dane i przekazujemy je do obiektów stworzonej przez nas klasy 'Currency'. Na zakończenie metoda zwraca listę obiektów 'Currency', na której to później dużo łatwiej jest nam operować.

Przykładowy program, który pobiera aktualne kursy walut, a nast. wyświetla je na konsoli wygląda następująco:

using System;
using System.Collections.Generic;
using System.Linq;
using System.Text;
using System.Net;
using System.IO;
using System.Xml;

namespace GetAcctualNBPCurrency
{
    class Program
    {
        static void Main(string[] args)
        {
            string url = @"http://www.nbp.pl/kursy/xml/LastA.xml";
            List<Currency> currencyList = ImportData(url);

            foreach (Currency currency in currencyList)
            {
                Console.WriteLine("Kurs dla waluty {0} ({1}) na dzień {2} wynosi: {3}", currency.CurrencyCode, currency.CurrencyName, currency.CurrencyDate.ToShortDateString(), currency.CurrencyRate);
            }
            Console.ReadKey();
        }
        private static List<Currency> ImportData(string url)
        {
            // Creates an HttpWebRequest with the specified URL.
            HttpWebRequest myHttpWebRequest = (HttpWebRequest)WebRequest.Create(url);
            // Sends the HttpWebRequest and waits for the response.           
            HttpWebResponse myHttpWebResponse = (HttpWebResponse)myHttpWebRequest.GetResponse();
            // Gets the stream associated with the response.
            Stream receiveStream = myHttpWebResponse.GetResponseStream();
            Encoding encode = System.Text.Encoding.GetEncoding("iso-8859-2");
            // Pipes the stream to a higher level stream reader with the required encoding format.
            StreamReader readStream = new StreamReader(receiveStream, encode);
            string readedData = readStream.ReadToEnd();
            myHttpWebResponse.Close();
            // Releases the resources of the Stream.
            readStream.Close();
            XmlDocument xmlDoc = new XmlDocument();
            xmlDoc.LoadXml(readedData);
            XmlNodeList currencyListXml = xmlDoc.GetElementsByTagName(Constraints.POSITION);
            var date = xmlDoc.GetElementsByTagName(Constraints.PUBLICATION_DATE);
            DateTime currencyDate = Convert.ToDateTime(date[0].FirstChild.Value);

            List<Currency> currencyList = new List<Currency>();
            foreach (XmlNode currencyXml in currencyListXml)
            {
                //XmlNodeList nodes = currencyXml.ChildNodes;
                Currency currency = new Currency();
                currency.CurrencyName = currencyXml.ChildNodes[0].FirstChild.Value;
                currency.Converter = currencyXml.ChildNodes[1].FirstChild.Value;
                currency.CurrencyCode = currencyXml.ChildNodes[2].FirstChild.Value;
                currency.CurrencyRate = Convert.ToDouble(currencyXml.ChildNodes[3].FirstChild.Value);
                currency.CurrencyDate = currencyDate;
                currencyList.Add(currency);
            }
            return currencyList;
        }
    }
    class Currency
    {
        public string CurrencyName { get; set; }
        public string Converter { get; set; }
        public string CurrencyCode { get; set; }
        public double CurrencyRate { get; set; }
        public DateTime CurrencyDate { get; set; }

        public Currency() { }
    }
    class Constraints
    {
        public static readonly string PUBLICATION_DATE = "data_publikacji";
        public static readonly string POSITION = "pozycja";
        public static readonly string CURRENCY_NAME = "nazwa_waluty";
        public static readonly string CONVERETER = "przelicznik";
        public static readonly string CURRENCY_CODE = "kod_waluty";
        public static readonly string CURRENCY_RATE = "kurs_sredni";
    }
}

P.S. Zasady korzystania z danych publikowanych na stronie NBP można znaleźć w statusie serwisu pod tym adresem.

Podlgądanie zawartości pliku *.wsp

W aplikacji sharepoint, skompilowane rozwiązania (solucje) kompilowane są do plików z rozszerzeniem *.wsp. Pliki, te są paczkami, zawierającymi pliki, jakie nast. zostaną wgrane na serwer podczas instalacji pliku .wsp. Jeżeli chcemy podejrzeć zawartość pliku wsp, aby np. mieć pewność, czy pliki z obrazkami (*.png) poprawnie załączyły się podczas kompilacji, możemy to zrobić, zmieniając rozszerzenie pliku z '*.wsp", na "*.cab", a nast. przejrzeć plik "*.cab" za pomocą eksploratora plików systemu windows. Przykład:

MojaSolucja.wsp -> MojaSolucja.cab

Obrona przed XTML Injection, XSS (Cross-Site Scripting) poprzez Strip

Jednym z najpoważniejszych zagrożeń związanych z bezpieczeństwem aplikacji internetowych jest HTML Injection, czyli jedna z odmian Code Injection. Problem bezpieczeństwa związany HTML Injection polega głównie na Cross-Site Script, czyli wstrzyknięciu na stronę www kodu HTML zawierającego wykonujące się skrypty (np. w języku 'Javascript'), które mogą służyć m.in. do zmiany ustawień konta, wyciągania wrażliwych danych od użytkownika i innych niepożądanych czynności.
Kod HTML zawierający szkodliwe skrypty można wstrzyknąć np. do textBoxów pobierających od użytkownika dane.

W jaki sposób się przed tym bronić? Jednym ze skutecznych sposobów ochrony przed tego typu nieczystymi zagraniami jest walidacja tekstu wpisywanego przez użytkownika za pomocą wyrażeń regularnych.Metodą, która wykonuje za nas odpowiednią walidację, jest przedstawiona poniżej metoda Strip:

using System.Text.RegularExpressions;

public static string Strip(string text)

{

    return Regex.Replace(text, @"<(.|\n)*?>", string.Empty);

}

 Stosowanie przez nas tej metody, na każdym "stringu" wpisywanym przez użytkownika, przed zapisaniem go do bazy danych, nie będzie miało zauważalnego wpływu na wydajność, za to zdecydowanie podniesie bezpieczeństwo naszej aplikacji.

Wyzerowanie (czyszczenie) witryny sharepoint

Czyli... coś czego... niemal nigdy nie powinno się robić, jednak moja wyobraźnia jest na tyle pojęta, że... jednak jestem w stanie sobie wyobrazić syt. w której trzeba programistycznie wyczyścić całą witrynę sharepoint. Można to zrobić za pomocą przedstawionej poniżej metody, którą można podpiąć pod kod deaktywujący feature.

Uwaga: ta metoda jest niczym "broń atomowa" dla witryny sharepoint, więc jej ewentualne użycie powinno być wcześniej 10-krotnie przemyślane.

     private void ClearAll(SPFeatureReceiverProperties properties)

        {

            SPWeb baseWeb = (SPWeb)properties.Feature.Parent;

            Guid siteId = baseWeb.Site.ID;

            Guid webId = baseWeb.ID;

            SPSecurity.RunWithElevatedPrivileges(

                delegate()

                {

                    using (SPSite adminSite = new SPSite(siteId))

                    {

                        try

                        {

                            SPWeb web = adminSite.AllWebs[webId];

                            if (web.Exists)

                            {

                                int listIndex = 0;

                                while (web.Lists.Count > listIndex)

                                {

                                    try

                                    {

                                        web.Lists[listIndex].Delete();

                                    }

                                    catch (Exception ex) { listIndex++; };

                                }

                                while (web.ContentTypes.Count > 0)

                                {

                                    int errorCount = 0;

                                    while (web.ContentTypes[0].FieldLinks.Count > errorCount)

                                    {

                                        try

                                        {

                                            web.ContentTypes[0].FieldLinks

                                                .Delete(web.ContentTypes[0].FieldLinks[errorCount].Id);

                                        }

                                        catch (Exception ex)

                                        {

                                            errorCount++;

                                        }

                                    }

                                    web.ContentTypes[0].Delete();

                                }

                                while (web.Fields.Count > 0)

                                {

                                    int fieldIndex = 0;

                                    while (fieldIndex < web.Fields.Count)

                                    {

                                        try

                                        {

                                            web.Fields.Delete(web.Fields[fieldIndex].InternalName);

                                        }

                                        catch (Exception ex) {

                                            fieldIndex++;

                                        };

                                    }

                                }

                                web.Update();

                                web.ResetRoleInheritance();

                                if (Helpers.checkGroup(SolutionResourcesAccessor.RMUAHRGroupName, web.SiteGroups))

                                    web.SiteGroups.Remove(SolutionResourcesAccessor.RMUAHRGroupName);

                                if (Helpers.checkGroup(SolutionResourcesAccessor.RMUAUsersGroupName, web.SiteGroups))

                                    web.SiteGroups.Remove(SolutionResourcesAccessor.RMUAUsersGroupName);

                                if (Helpers.checkGroup(SolutionResourcesAccessor.RMUAAdminGroupName, web.SiteGroups))

                                    web.SiteGroups.Remove(SolutionResourcesAccessor.RMUAAdminGroupName);

                                while (web.Navigation.QuickLaunch.Count > 0)

                                {

                                    web.Navigation.QuickLaunch.Delete(web.Navigation.QuickLaunch[0]);

                                    web.Update();

                                }

                                while (web.Navigation.TopNavigationBar.Count > 0)

                                {

                                    web.Navigation.TopNavigationBar.Delete(web.Navigation.TopNavigationBar[0]);

                                    web.Update();

                                }

                            }

                            SPLimitedWebPartManager mainLWPM =

                                web.GetLimitedWebPartManager(SPUrlUtility.CombineUrl(web.Url, "default.aspx")

                                   , System.Web.UI.WebControls.WebParts.PersonalizationScope.Shared);

                            while (mainLWPM.WebParts.Count != 0)

                                mainLWPM.DeleteWebPart(mainLWPM.WebParts[0]);

                            web.ResetRoleInheritance();

                        }

                        catch (Exception ex)

                        {

                        }

                    }

                }

            );

        }

Wyświetlenie wszystkich webpartów aktualnie umieszczonych na stronie

Podczas tworzenia rozwiązań na platformę 'Sharepoint' czasami zdarza się, że chcemy obejrzeć wszystkie web party, jakie aktualnie są podpięte na oglądanej przez nas stronie. Do tego celu służy nam specjalny parametr dopisywany w querystringu. Parametr nosi nazwę 'contents' i przyjmuję wartość równą 1:

?contents=1

To rozwiązanie jest szczególnie użyteczne w sytuacjach, w których stworzony przez nas 'web part' wywala stronę, na której się znajduję. Wtedy w sposób szybki i bezproblemowy, dopisujemy odpowiedni fragment do querystringa i możemy taki 'web part' w sposób szybki, miły i przyjemny usunąć z naszej strony.