当前位置:当前位置: 首页 >
做网页开发时,允许用户输入url图片地址来作为自己的头像有什么风险?
文章出处:网络 浏览次数:发表时间:2025-06-23 18:00:16
可以考虑加载前做验证:向该url发送*** head请求,判断返回的content-type是否为image,以及是否在限制尺寸以下。
head请求只会获取响应header,不会获取响应体,所以可以一定程度上避免“非图片url”或者“巨型图片”造成的***浪费和页面卡顿问题。
同时,也可以避免XSS(因为把js代码填进来不可能通过上述验证)和XSRF(因为接口不可能接受head请求) 有错误请指正。
同类文章排行
- 腾讯开源的 libco 号称千万级协程支持,那个共享栈模式原理是什么?
- obsidian用一两年后会有多大?全文搜索还快吗?
- 你们在编程时遇到过什么离谱的bug吗?
- 电脑有64G的物理内存(DDR5 5200),完全够用了,可以关闭系统的虚拟内存吗?
- 如何看待 Rust 的应用前景?
- 理论上flutter性能应该非常高才对,为什么好些flutter应用性能一般?
- 国产数据库有什么坑?
- 为什么说WPS是流氓软件?
- 这种裙子是不是对直男爆杀?
- 你们觉得京东外卖能做起来么?
最新资讯文章
- 医院为什么很不用安宫牛黄丸急救?
- graalvm为啥国内没有流行起来,go写起来实在太恶心了,难道任凭go独霸云原生?
- jwt的设计合理吗?
- Node.js是谁发明的?
- 生完孩子身材依旧火辣是一种怎样的体验?
- 联想 128GB 超大内存迷你 AMD 主机上架,此款主机有哪些亮点?
- 商业史上有哪些降维打击的经典案例?
- 美国***下令美使领馆暂停留学生新签证面谈,将带来哪些影响?美国大学在全球人才竞争中还有优势吗?
- C++性能高吗?对比rust有何优势?
- 国产数据库有什么坑?
- 有没有好用的本地***去水印免费软件?
- OSI 协议与 TCP / IP 协议有什么差别?
- H264和H265谁画质好,求回谢谢!?
- 装了飞牛NAS,除了存资料看电影还能干什么?
- 国产手机AI「好用」的背后,是技术差距还是文化差异?
- Trae和Cursor对比有什么优势吗?
- 你怎么看待剪映收费过高问题?
- 中国的稀土真的能卡住世界的脖子吗?
- 北京日报点名批评“苏超”过度娱乐化,它是否管的太宽了?为什么无良媒体不会被查封取缔?
- 你敢晒出你自己的照片吗?
