코드 조각을 사용하는 경우 보안 고려 사항
업데이트: 2007년 11월
Visual Studio에서 설치되는 IntelliSense 코드 조각에는 자체적으로 보안 위험이 없지만 이러한 코드 조각이 사용되는 위치와 수정되는 방법에 따라 응용 프로그램에서 보안 문제가 발생할 수 있습니다. 인터넷에서 다운로드한 조각은 다운로드한 다른 콘텐츠처럼 처리해야 합니다.
인터넷에서 가져온 조각
인터넷에서 조각 파일을 다운로드하는 경우 다음 사항을 유의해야 합니다.
파일 확장명이 .snippet인 경우 해당 파일에 반드시 일반 텍스트 XML이 포함되어 있는 것은 아닙니다. 안전을 위해 신뢰할 수 있는 사이트에서 파일을 다운로드하고 최신 바이러스 백신 프로그램을 사용하십시오.
조각 파일의 일부인 도움말 URL이 악의적인 스크립트 파일을 실행하거나 공격적인 웹 사이트를 표시할 수 있습니다. 도움말 URL은 조각을 삽입할 때 코드 편집기에는 표시되지 않지만 XML 편집기나 메모장과 같은 다른 편집기에서 조각 파일을 편집하는 경우에는 표시될 수 있습니다.
코드 자체에 실행 시 시스템을 손상시킬 수 있는 코드가 포함되어 있을 수 있습니다. 따라서 코드를 실행하기 전에 소스를 주의해서 읽어보십시오. 일부 코드는 축소된 #Region 지시문 섹션에 존재할 수 있습니다. 이러한 섹션은 확장하여 해당 코드를 읽어보십시오.
조각은 참조를 포함할 수 있습니다. 이러한 참조는 프로젝트에 자동으로 추가되어 시스템의 모든 위치에서 로드될 수 있습니다. 이러한 참조는 조각을 다운로드한 위치에서 사용자 컴퓨터로 다운로드되었을 수 있습니다. 그런 경우 조각은 참조에서 악의적인 코드를 실행하는 메서드를 호출할 수 있습니다. 이러한 공격으로부터 보호하려면 조각을 삽입하기 전에 조각 파일을 주의해서 읽어보고 신뢰할 수 있는 사이트에서 다운로드하십시오.
모든 조각에 대한 보안
소스 코드에서 조각이 사용되는 위치와 코드에서 조각이 수정된 방법에 따라 조각의 보안 정도가 다릅니다. 다음과 같은 사항을 고려하십시오.
파일 및 데이터베이스 액세스
코드 액세스 보안
리소스(이벤트 로그, 레지스트리 등) 보호
비밀 정보 저장
입력 확인
스크립팅 기술에 데이터 전달
자세한 내용은 응용 프로그램 보안을 참조하십시오.