做网页开发时,允许用户输入url图片地址来作为自己的头像有什么风险?_陕西省西安市阎良区夏仁气体放电灯有限责任公司

做网页开发时,允许用户输入url图片地址来作为自己的头像有什么风险?

后台-模块-广告管理-内容头部广告位
后台-模块-广告管理-内容头部广告位

可以考虑加载前做验证:向该url发送*** head请求,判断返回的content-type是否为image,以及是否在限制尺寸以下。

head请求只会获取响应header,不会获取响应体,所以可以一定程度上避免“非图片url”或者“巨型图片”造成的***浪费和页面卡顿问题。

同时,也可以避免XSS(因为把js代码填进来不可能通过上述验证)和XSRF(因为接口不可能接受head请求) 有错误请指正。

做网页开发时,允许用户输入url图片地址来作为自己的头像有什么风险?

豫-ICP备12309699号-1|网站地图
本文地址:
豫-ICP备12309699号-1|网站地图本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系,我们将在24小时内删除。
后台-模块-广告管理-内容底部广告位
后台-模块-广告管理-内容底部广告位

上一篇 : 江西一救护车转运重症患儿 800 公里收 28000 元遭质疑,争议点是什么?哪些信息值得关注?

上一篇 : 江西一救护车转运重症患儿 800 公里收 28000 元遭质疑,争议点是什么?哪些信息值得关注? "> 条评论)

快来评论,快来抢沙发吧~