做网页开发时,允许用户输入url图片地址来作为自己的头像有什么风险?
- 发表时间:2025-06-23 18:00:16
- 来源:
可以考虑加载前做验证:向该url发送*** head请求,判断返回的content-type是否为image,以及是否在限制尺寸以下。
head请求只会获取响应header,不会获取响应体,所以可以一定程度上避免“非图片url”或者“巨型图片”造成的***浪费和页面卡顿问题。
同时,也可以避免XSS(因为把js代码填进来不可能通过上述验证)和XSRF(因为接口不可能接受head请求) 有错误请指正。
推荐资讯
- 2025-06-23 23:05:16学习linux内核有什么好的书吗?
- 2025-06-23 23:25:16同事连续几天把孩子带来上班,你们有过这样的经历吗?
- 2025-06-23 23:00:17PHP现在真的已经过时了吗?
- 2025-06-23 23:25:16只考虑隐身和载荷航程,中国轰六K能投GBU57巨型钻地弹,炸福尔多***吗?
- 2025-06-23 22:10:16obsidian用一两年后会有多大?全文搜索还快吗?
- 2025-06-23 23:45:17美国投掷 6 枚钻地炸弹袭击伊朗福尔多核设施,钻地弹有多大杀伤力?能摧毁伊朗地下核设施吗?
- 2025-06-23 22:10:16为什么成功人士的精力都非常旺盛?
- 2025-06-23 22:20:16鸿蒙PC操作系统是不是就是手机操作系统?
- 2025-06-23 23:30:17孩子网上学编程,靠谱吗?
- 2025-06-23 23:35:16哪张照片让你觉得刘亦菲美得不可方物?
推荐产品
-
为什么有的人喜欢带着 MacBook 去咖啡店或者书店上网,而不是 ThinkPad 之类的?
带过thinkpad,咖啡店老板直接把空调关了。 前几年一 -
国外(GoDaddy)注册的域名如何在国内备案?
.org / .me 域名不能备案?谈谈工信部是如何完美规避 -
中国与敌国发生战争,哪些国家会帮中国?
一个都不会有的,这个世界上没有一个国家的价值观和中国一样。 -
各位Unity游戏客户端前辈,想问问大家要找到一份工作还需要学什么?
看了你的简历,如果是我面试你,可能会问下面的问题: 1、你提
最新资讯