在使用visual studio開發過程中，有時發現在“錯誤列表”中的一些提示，大體分為錯誤、警告、訊息，錯誤是我們必須處理的，否則程式碼通過編譯，警告有時常常會被忽略(也許你是細心人，會處理掉)，有時，這樣的忽略會為應用埋下安全的隱患。

　　其實這些提示，是來自微軟的IDE的Security Code Scan - static code analyzer for .NET，這些提示彙總在https://security-code-scan.github.io/裡。

　　其中Rules裡，給了我們很多友好的提示，比如最普通常見的安全隱患SQL注入，如下圖，不但給出了有隱患的程式碼，還給出了針對性的解決方案。

　　還的常見的跨站點攻擊CSRF的針對性解決方案：

　　還有幾乎寫web應用都會遇到的檔案訪問攻擊，無一例外的給出了我們解決方案：

　　這些警告資訊在相當程度上給我們起到提示預警的作用，雖然我們的程式會照常執行，但是還是要注意的，當然不是一刀切，如果你的應用在使用場景上有明顯不同，可以忽略處理，比如你是在區域網中訪問，那CSRF在一定程式上就可以放寬標準，不作細緻的處理，這也是vs沒有把這類問題變成錯誤，只是一個警告的原因之一吧。