概要
本文包含的指南针对的是要在 Windows XP 或 Windows Server 2003 的应用程序中实现 URL 验证的软件开发人员。具体而言,本文介绍应用程序在将 URL 传递到 Windows 进行执行之前必须执行哪些操作以验证 URL。
更多信息
Windows Shell32 ShellExecute 函数使应用程序能够传递 URL。必须针对威胁环境仔细设计应用程序。对于使用 URL 处理来接受不受信任的数据的任何程序,都适用这一原则。
在传递将由 Windows Shell32 执行的 URL 之前,应用程序应执行以下操作:
在传递将由 Windows Shell32 执行的 URL 之前,应用程序应执行以下操作:
| 1. | 调用 SHParseDisplayName 函数和 URI 字符串。 |
| 2. | 如果步骤 1 成功,则应用程序应调用 ShellExecuteEx 函数和 SEE_MASK_INVOKEIDLIST 标记,以及指向项标识符列表的指针 (PIDL)。 |