使用代码段的安全注意事项
更新:2007 年 11 月
Visual Studio 安装的 IntelliSense 代码段本身并不构成安全威胁,但根据这些代码段的使用位置和修改方式的不同,可能会在应用程序中造成安全威胁。从 Internet 下载的代码段的处理方式应与其他任何下载内容一样。
来自 Internet 的代码段
从 Internet 下载代码段文件时,请注意以下事项:
.snippet 文件扩展名并不能保证该文件包含纯文本 XML。为安全起见,请从您信任的站点下载代码段,并使用最新的防病毒软件。
作为代码段文件一部分的“帮助 URL”可能会暗中执行恶意脚本文件或显示一个攻击性网站。插入代码段时,“代码编辑器”中并不显示帮助 URL,但在 XML 编辑器或其他编辑器(如“记事本”)中编辑代码段文件时,将显示帮助 URL。
代码本身可能包含在执行时可损坏系统的代码。请在运行代码前仔细阅读源代码。有些代码可能位于折叠的 #Region 指令部分。请展开这些部分阅读其中的代码。
代码段可能包含引用。这些引用会悄悄地添加到您的项目中,并可能从系统的任意位置进行加载。这些引用也可能是从您下载代码段的位置下载到您的计算机中的。代码段随后可能会调用引用中的一个方法执行恶意代码。若要免遭此类攻击,请在插入代码段之前仔细阅读代码段文件,而且要从您信任的站点下载代码段。
所有代码段的安全
代码段的安全性取决于它在源代码中的使用位置以及它在插入代码后的修改方式。下面列出了必须注意的几个方面:
文件和数据库访问
代码访问安全性
保护资源(例如事件日志和注册表)
存储机密内容
验证输入
向脚本技术传递数据
有关更多信息,请参见保证应用程序的安全。