使用片段時的安全性考量
更新:2007 年 11 月
Visual Studio 安裝的 Intellisense 程式碼片段本身沒有安全性危險的問題。但是根據其使用的位置和修改的方式,它們可能會對您的應用程式造成安全上的風險。從網際網路下載的程式碼片段應該與其他下載的內容等同視之。
來自網際網路的程式碼片段
從網際網路下載程式碼片段檔案時,請注意下列幾點:
副檔名為 .snippet 的檔案不保證一定包含純文字 XML。為了安全起見,請從您信任的網站下載,並使用最新的防毒軟體。
程式碼片段檔案內的說明 URL 可能會執行惡意的指令碼檔或顯示含有惡意的網站。插入程式碼片段時,[程式碼編輯器] 並不會顯示說明 URL,但如果在 XML 編輯器或其他編輯器 (例如記事本) 中編輯程式碼片段檔案,就會看到它。
程式碼本身可能包含執行後會損壞系統的程式碼,因此請先仔細閱讀原始程式碼後再執行。有些程式碼可能藏在摺疊的 #Region 指示詞區段內,請展開這些區段以閱讀程式碼。
程式碼片段可能包含參考。這些參考會以無訊息的方式加入至專案,而且可從系統的任何位置載入。系統可能已從您下載程式碼片段的位置,將這些參考下載至您的電腦。程式碼片段接著可能會在執行惡意程式碼的參考中呼叫方法。為了避免遭受這類攻擊,請仔細閱讀程式碼片段檔案後再插入程式碼片段,並從信任的網站下載。
所有程式碼片段的安全性
程式碼片段的安全程度取決於它在原始程式碼中的使用位置,以及其在程式碼中修改的方式。下列清單包含一些必須考量的部分:
檔案和資料庫存取
程式碼存取安全性
保護資源 (例如事件記錄檔、登錄)
儲存密碼
驗證輸入
將資料傳遞至指令碼技術
如需詳細資訊,請參閱設定應用程式的安全性。