当前位置: 首页 >
做网页开发时,允许用户输入url图片地址来作为自己的头像有什么风险?
- 人气:
可以考虑加载前做验证:向该url发送*** head请求,判断返回的content-type是否为image,以及是否在限制尺寸以下。
head请求只会获取响应header,不会获取响应体,所以可以一定程度上避免“非图片url”或者“巨型图片”造成的***浪费和页面卡顿问题。
同时,也可以避免XSS(因为把js代码填进来不可能通过上述验证)和XSRF(因为接口不可能接受head请求) 有错误请指正。
推荐资讯
- 2025-06-24node 项目中如何使用 Node Schedule 创建定时任务?
- 2025-06-24Golang 的 Web 框架该怎么选择?Web 开发又该怎样学?
- 2025-06-24怎么学习前端开发?求推荐学习路线?
- 2025-06-24为什么Rust的包管理器Cargo这么好用?
- 2025-06-24为什么 Linux 软件安装包会有依赖关系,而 Windows 软件安装包不需要?
- 2025-06-24你拍到的自己最满意的照片是什么?
- 2025-06-24敢不敢留下一张自拍照让人打分?
- 2025-06-24胸大的女孩会自卑 吗?
- 2025-06-24长沙申请全运会成功,未来几年会对长沙有哪些帮助?是否会加快长株潭融城以及经济发展?
- 2025-06-24用GraphQL如何实现以下API请求?与REST的思路相比实现方法孰优孰劣?
- 2025-06-24有哪些 2025 的神预言?会发生什么?
- 2025-06-24如何自己搭建家庭服务器?
- 2025-06-24目前最具性价比的全栈路线是啥?
- 2025-06-24如何解决Cursor等Agent编码开发轮次多了过后代码库变成屎山的问题?
- 2025-06-24为什么 CTO、技术总监、架构师都不写代码还这么厉害?
- 2025-06-24那你说什么样的是美女?
推荐产品
-
养龟玩龟的人可怕吗?
先晒图。 必须可怕啊! 首先,养龟的动机就很可怕。 我 -
为什么长得漂亮却没什么用?
我家楼下的快递站,原来负责人是一个男人婆,每次快递车到了,司 -
是什么原因导致HDR无法推行?
不能即插即用的都是辣鸡 都2025年了还天天想着当用户的爹 -
高德地图红绿灯读秒怎么实现的?
首先放结论:高德有相关的专利公开关于这个问题,之前看到相关报
最新资讯