使用片段時的安全性考量
Visual Studio 安裝的 IntelliSense 程式碼片段本身沒有安全性危險的問題。 但是根據其使用的位置和修改的方式,它們可能會對您的應用程式造成安全上的風險。 從網際網路下載的程式碼片段應該與其他下載的內容等同視之。
來自網際網路的程式碼片段
從網際網路下載程式碼片段檔案時,請注意下列幾點:
副檔名為 .snippet 的檔案不保證一定包含純文字 XML。 為了安全起見,請從您信任的網站下載,並使用最新的防毒軟體。
程式碼片段檔案內的說明 URL 可能會執行惡意的指令碼檔或顯示含有惡意的網站。 插入程式碼片段時,[程式碼編輯器] 並不會顯示說明 URL,但如果在 XML 編輯器或其他編輯器 (例如記事本) 中編輯程式碼片段檔案,就會看到它。
程式碼本身可能包含執行後會損壞系統的程式碼, 因此請先仔細閱讀原始程式碼後再執行。 有些程式碼可能藏在摺疊的 #Region 指示詞區段內, 請展開這些區段以閱讀程式碼。
程式碼片段可能包含參考。 這些參考會以無訊息的方式加入至專案,而且可從系統的任何位置載入。 系統可能已從您下載程式碼片段的位置,將這些參考下載至您的電腦。 程式碼片段接著可能會在執行惡意程式碼的參考中呼叫方法。 為了避免遭受這類攻擊,請仔細閱讀程式碼片段檔案後再插入程式碼片段,並從信任的網站下載。
所有程式碼片段的安全性
程式碼片段的安全程度取決於它在原始程式碼中的使用位置,以及在程式碼中修改的方式。 下列清單包含一些必須考量的部分:
檔案和資料庫存取
程式碼存取安全性
保護資源 (如事件記錄檔、登錄)
儲存密碼
驗證輸入
將資料傳遞至指令碼技術
如需詳細資訊,請參閱 設定應用程式的安全性。