当前位置: 首页 >
做网页开发时,允许用户输入url图片地址来作为自己的头像有什么风险?
- 人气:
可以考虑加载前做验证:向该url发送*** head请求,判断返回的content-type是否为image,以及是否在限制尺寸以下。
head请求只会获取响应header,不会获取响应体,所以可以一定程度上避免“非图片url”或者“巨型图片”造成的***浪费和页面卡顿问题。
同时,也可以避免XSS(因为把js代码填进来不可能通过上述验证)和XSRF(因为接口不可能接受head请求) 有错误请指正。
推荐资讯
- 2025-06-23谷歌花钱买的安卓系统,为什么要开源,开源后靠啥赚钱?
- 2025-06-23美国投掷 6 枚钻地炸弹袭击伊朗福尔多核设施,钻地弹有多大杀伤力?能摧毁伊朗地下核设施吗?
- 2025-06-23编程对电脑的要求大概需要多高?
- 2025-06-23为何有人说三亚景色不输泰国,中国游客却更爱去泰国?
- 2025-06-23黑客为什么可以做到无需知道源码的情况下找出系统漏洞?
- 2025-06-23字节跳动技术副总裁开源了自己与Trae合作的首个项目,如何评价目前AI开发的水平?
- 2025-06-23有什么好看的追妻火葬场的文吗?
- 2025-06-2330岁了,你在深圳过着什么样的生活?
- 2025-06-23如何评价腾讯元宝桌面端使用 Rust 的 Tauri 框架?
- 2025-06-23不懂就问,spacex登上火星建立殖民地然后会有什么商业价值吗,***矿还是干什么?
- 2025-06-23如何评价白宇帆、辛柏青主演的电视剧《护宝寻踪》?
- 2025-06-23《碟中谍 8》都有哪些槽点?
- 2025-06-23如何看待心动的信号7中的翁青雅?
- 2025-06-23冬天也要穿胸罩吗?
- 2025-06-23怎样自己做一个ai生成音乐的软件?
- 2025-06-232025年6月,到底买油车还是电车?
推荐产品
-
央视怎么又开始报道伊朗的防空能力了?是有神秘的力量开始介入了吗?
讲个冷笑话 运一个营的防空 需要的10-20架运输机 而以色 -
伊朗这次会崩溃灭亡吗?
本次战争,伊朗不会亡国,但是伊朗必败。 原因是伊朗搞核武器 -
你怎么看待剪映收费过高问题?
2021年第1次使用剪映的时候 我发现它的大部分功能都在服务 -
大厂后端开发需要掌握docker和k8s吗?
哎呦,小老弟,你这问题问得挺有意思,正好踩在了老油条的脚趾上
最新资讯