做网页开发时,允许用户输入url图片地址来作为自己的头像有什么风险?
来源:
编辑:
时间:2025-06-23 18:00:16
可以考虑加载前做验证:向该url发送*** head请求,判断返回的content-type是否为image,以及是否在限制尺寸以下。
head请求只会获取响应header,不会获取响应体,所以可以一定程度上避免“非图片url”或者“巨型图片”造成的***浪费和页面卡顿问题。
同时,也可以避免XSS(因为把js代码填进来不可能通过上述验证)和XSRF(因为接口不可能接受head请求) 有错误请指正。
-
{dede:pagebreak/}
网友评论:
{dede:include file='ajaxfeedback.htm' /}
栏目分类
最新文章
- 北京多所高校建议舍弃罗马仕充电宝,品牌方称正调查,罗马仕充电宝质量如何?如何排查所用充电宝是否安全?
- 如何评价***伊内斯·特洛奇亚的身材?
- 现在网络上各种前端已死,后端太卷的言论,这是真的吗?还是有人蓄意炒作?
- 西安一商场大屏播放巨大电风扇,这真的能起到「望扇止暑」效果吗?还是单纯营销创意?
- 有人说24GB和48GB内存容量是新一代电脑平台最均衡的方案,真的是这样吗?电脑内存应该如何选?
- 为什么程序员独爱用Mac进行编程?
- 华为鸿蒙还有多久可以在pc桌面取代Windows?
- 为什么在日本是实体店干掉电商,在中国却是电商干掉实体?
- 055万吨驱逐舰是不是有些被过于神化了,有没有了解的大佬详细解释一下?
- J***aScript 这种语言特性十分糟糕的语言流行起来是不是一场灾难?
热门文章