在使用visual studio开发过程中,有时发现在“错误列表”中的一些提示,大体分为错误、警告、消息,错误是我们必须处理的,否则代码通过编译,警告有时常常会被忽略(也许你是细心人,会处理掉),有时,这样的忽略会为应用埋下安全的隐患。
其实这些提示,是来自微软的IDE的Security Code Scan - static code analyzer for .NET,这些提示汇总在https://security-code-scan.github.io/里。
其中Rules里,给了我们很多友好的提示,比如最普通常见的安全隐患SQL注入,如下图,不但给出了有隐患的代码,还给出了针对性的解决方案。
还的常见的跨站点攻击CSRF的针对性解决方案:
还有几乎写web应用都会遇到的文件访问攻击,无一例外的给出了我们解决方案:
这些警告信息在相当程度上给我们起到提示预警的作用,虽然我们的程序会照常运行,但是还是要注意的,当然不是一刀切,如果你的应用在使用场景上有明显不同,可以忽略处理,比如你是在局域网中访问,那CSRF在一定程序上就可以放宽标准,不作细致的处理,这也是vs没有把这类问题变成错误,只是一个警告的原因之一吧。
想要更快更方便的了解相关知识,可以关注微信公众号
