那么，象这样一个被广泛采用的生成验证代码的技术，为什么微软在XP的SP2升级包中又要禁止掉它呢？？这就需要从Xbm的漏洞谈起了。

　　Microsoft Internet EXPlorer和Outlook EXPress在处理WEB页，HTML邮件，EMAIL附件中畸形Xbm图象文件会导致崩溃，问题存在于对Xbm文件中的内容缺少检查，MSIE按照图象规定的长度和宽度分配内存，攻击者可以提高超大的长度和宽度数值导致系统消耗内存或者访问冲突。

　　换句话说，如果构造一个长宽的尺寸特别大的Xbm文件，很容易导致Windows的内存耗尽，导致程序无响应或者死机。本身来说，这不算一个特别严重的漏洞，因为根据安全公告，无法造成溢出，不会存在太大的权限漏洞。但是由于XP的SP2强调安全性，因此将Xbm功能禁用了。从这点上可以看出，SP2对于安全的确比较重视，将有漏洞的功能基本上都补上或禁用了，作为网络管理员，我对微软的做法表示支持，因为操作系统默认设置的不安全，常常是造成非专业用户被攻击的首要因素。

　　解禁方法：

　　由此看出，以后我们访问某些采用生成Xbm作为验证代码的站点的时候，就相当不方便了，如果有必要，可以通过简单的操作注册表恢复我们需要的功能。

　　打开注册表，然后进到键值[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet EXPlorer\Security]
将blockXbm的值改为00000000（dword，双字节），没有的话新建立一个就可以了。

　　之后重新启动机器，则Xbm格式的图片就可以看到了。

　　从SP2禁止Xbm的趋势看出，微软打算似乎已经开始打算放弃对Xbm格式的支持了。那么，作为程序编写者，有必要未雨绸缪，寻找其他生成验证码的途径。在php中，可以通过调用gd库等方式生成jpg/gif等图形格式的注册验证码，那么在asp中有其他的办法么？

　　事实上图片验证密码的关键是--不能在客户端留下图片的真实url，或可对应反推源地址的信息，因此asp可以采用以下2种方式实现支持SP2的图形验证码。

　　如果是购买的虚拟主机，那么可以采用将jpg/gif图片放到数据库，然后用session传值的方式，最后利用asp直接从数据库中输出图片，这方法的好处是不需要特别设置服务器端，坏处则是每次生成验证图片时都会需要与数据库连接，增加了开销。

　　如果是有管理员控制权限的用户，可以考虑采用第三方组件来实现。天缘个人推荐 ASP图象组件shotgraph ，它的免费版本对生成的图形有一定限制，不过已经足够用来制作验证码了。