可以考虑加载前做验证:向该url发送*** head请求,判断返回的content-type是否为image,以及是否在限制尺寸以下。
head请求只会获取响应header,不会获取响应体,所以可以一定程度上避免“非图片url”或者“巨型图片”造成的***浪费和页面卡顿问题。
同时,也可以避免XSS(因为把js代码填进来不可能通过上述验证)和XSRF(因为接口不可能接受head请求) 有错误请指正。
做网页开发时,允许用户输入url图片地址来作为自己的头像有什么风险?
猜你喜欢
-
你见过的有些人能漂亮到什么程度?
14年 21岁的我,首先我不是说我多漂亮,只是感慨当年的青涩 -
snipaste怎么安装?
一、Snipaste软件介绍 Snipaste 是一款令人惊 -
为什么网络上都在说隋坡厉害?
热锅凉油: 阿伟、王刚告诉我倒出来的油以后炒菜还能用(老饭骨 -
通过重体力劳动练出来的肌肉和标准健美人员肌肉有什么不同?
简单一点,用图说话吧。 首先,是肌群不均衡。 因为大多数体力
