Security 非存储输入中的代码注入

对于未存储到数据库中的输入，是否可以进行任何类型的代码注入

我有一个具有多个输入的web应用程序，但所有输入都用于过滤“搜索”。那么，我应该担心代码注入吗？如果是，是否存在不将输入存储到数据库中的实际注入示例？

是。这称为（XSS）

您需要始终根据XSS验证所有输入。没有例外

IE 8+和Chrome 4+对此提供了一些保护。您可以设置以下标题以启用此功能：

X-XSS-Protection:1；模式=块

---

详细信息：

是的，根据应用程序中使用的技术堆栈，存在多种类型的攻击。通常，在使用数据或剥离具有特殊含义的字符之前正确地转义是一种方法。检查API文档中的安全问题

---

是一个-这是代码在攻击者访问您站点的用户浏览器中执行的地方（例如，通过向他们发送指向您站点的链接，链接中还包含一些脚本）。但是，保护应用程序的主要重点是正确地输出编码，而不是验证输入。请参阅以获取指导，但实际上您需要将字符（如

&

转换为

&输出到HTML时。正确的输出编码意味着它所显示的脚本将被执行。
您可以称之为跨站点脚本而不是注入，但可以。您希望注入什么代码？根据搜索过滤器的实现方式，代码注入可能在那里工作。