当前位置:当前位置: 首页 >
做网页开发时,允许用户输入url图片地址来作为自己的头像有什么风险?
文章出处:网络 人气:发表时间:2025-06-23 18:00:16
可以考虑加载前做验证:向该url发送*** head请求,判断返回的content-type是否为image,以及是否在限制尺寸以下。
head请求只会获取响应header,不会获取响应体,所以可以一定程度上避免“非图片url”或者“巨型图片”造成的***浪费和页面卡顿问题。
同时,也可以避免XSS(因为把js代码填进来不可能通过上述验证)和XSRF(因为接口不可能接受head请求) 有错误请指正。
同类文章排行
- 为什么小公司留不住人?
- Postgres 和 MySQL 应该怎么选?
- 为什么苹果从来不宣传内存?
- 你见过最恶心的邻居是什么样子?
- 为何有人说三亚景色不输泰国,中国游客却更爱去泰国?
- 匿名关了,大家实名说说你最近的烦恼?
- 英国登山队靠人均 124 万元的氙气疗法,无高反四天登顶珠峰,该方法究竟是什么体验?背后有哪些争议?
- 东莞的外来人口比例比深圳更高,为什么很少有人说“东莞不是个广东城市”?
- 穿瑜伽裤爬山的女生会不会害羞?
- 如何评价小米 6 月 26 日发布的小米 YU7、MIX Flip2、REDMI K80 至尊版?
最新资讯文章
- YU7 之后的下一辆小米汽车可能是啥?小米会把所有车型做一遍吗?
- 开车的人和不开车的人思维有什么区别?
- 小腿能粗到什么地步?
- 为什么健身的女性普遍喜欢晒臀照?什么心理?
- 肌肉男打得过练拳击的瘦子吗?
- Typescript真的有用吗?
- 为什么10年前电脑内存就普遍16GB了,现在还是普遍16GB?
- 有哪些BI工具惊艳了你?
- 真的没有人觉得2k是一个很尴尬的分辨率吗?
- Microsoft Edge总是自动修改我的PDF默认打开方式,该怎么解决?
- 修仙文明可能以怎样的方式碾压星际文明?
- 真的没有人觉得2k是一个很尴尬的分辨率吗?
- 陌生人晕倒了,帮他拨打120后,病人不支付120出车费,这个费用谁来承担?
- 日本制造的质量真的就那么好吗?
- 重庆的你,择偶的标准是怎样的?