重視visual studio中的警告

在使用visual studio開發(fā)過程中，有時發(fā)現(xiàn)在“錯誤列表”中的一些提示，大體分為錯誤、警告、消息，錯誤是我們必須處理的，否則代碼通過編譯，警告有時常常會被忽略(也許你是細(xì)心人，會處理掉)，有時，這樣的忽略會為應(yīng)用埋下安全的隱患。

其實這些提示，是來自微軟的IDE的Security Code Scan - static code analyzer for .NET，這些提示匯總在https://security-code-scan.github.io/里。

其中Rules里，給了我們很多友好的提示，比如最普通常見的安全隱患SQL注入，如下圖，不但給出了有隱患的代碼，還給出了針對性的解決方案。

還的常見的跨站點攻擊CSRF的針對性解決方案：

還有幾乎寫web應(yīng)用都會遇到的文件訪問攻擊，無一例外的給出了我們解決方案：

這些警告信息在相當(dāng)程度上給我們起到提示預(yù)警的作用，雖然我們的程序會照常運行，但是還是要注意的，當(dāng)然不是一刀切，如果你的應(yīng)用在使用場景上有明顯不同，可以忽略處理，比如你是在局域網(wǎng)中訪問，那CSRF在一定程序上就可以放寬標(biāo)準(zhǔn)，不作細(xì)致的處理，這也是vs沒有把這類問題變成錯誤，只是一個警告的原因之一吧。