Поделиться через

Вопросы безопасности при использовании фрагментов кода

  • Статья

Фрагменты кода IntelliSense, установленные Visual Studio, сами по себе не представляют угрозы для безопасности. Появление угрозы безопасности в приложении зависит от места их использования и способа модификации. К фрагментам кода, загруженным из Интернета, следует относиться так же, как и к любому другому загруженному содержимому.

Фрагменты кода из Интернета

При загрузке файлов фрагментов из Интернета учитывайте следующее.

  • Расширение файла SNIPPET не гарантирует, что файл содержит текстовый XML-код. В целях безопасности загружайте фрагменты с доверенных узлов и используйте новейшее антивирусное программное обеспечение.

  • URL-адрес справки, являющийся частью файла фрагмента, может потенциально выполнить вредоносный файл скрипта или отобразить нежелательный веб-узел. URL-адрес справки не отображается в редакторе кода при вставке фрагмента, но он является видимым при редактировании файла фрагмента в редакторе XML или другом редакторе, таком как "Блокнот".

  • Сам код может содержать код, который может повредить систему при его выполнении. Внимательно просмотрите исходный код перед его запуском. Некоторая часть кода может содержаться в свернутых разделах Директива #Region. Разверните эти разделы для просмотра кода.

  • Фрагмент может содержать ссылки. Эти ссылки добавляются в проект без вмешательства пользователя и могут быть загружены из любого места в системе. Эти ссылки могут быть загружены на компьютер с того веб-узла, с которого был загружен фрагмент. Фрагмент может вызвать метод в ссылке, который выполняет вредоносный код. Чтобы защитить себя от такой опасности, следует внимательно просмотреть файл фрагмента перед вставкой фрагмента. Также следует загружать фрагменты кода только с узлов, которым вы доверяете.

Безопасность для всех фрагментов

Степень безопасности фрагмента зависит от того, где он используется в исходном коде, и как он изменяется после того, как был перенесен в код. Ниже перечислено несколько областей, на которые следует обратить внимание.

  • Доступ к файлам и базам данных

  • Управление доступом для кода

  • Защита ресурсов (таких как журналы событий, реестр)

  • Хранение секретных сведений

  • Проверка входных данных

  • Передача данных в скриптовые технологии

Дополнительные сведения см. в разделе Защита приложений.

См. также

Ссылки

Создание и использование фрагментов кода IntelliSense

Основные понятия

Защита приложений