我制作了一个“墙”脚本,分析了一个网址并从这个网址获取了一些数据。
我想显示此网址中的图片以获取拇指。
所以我的问题是:
从外部内容显示图像时是否可以100%安全?
例如Facebook使用“safe_image.php?urlOfThePicture”
答案 0 :(得分:1)
从外部内容显示图像时是否可以100%安全?
一般情况下,任何事情都不能100%安全。但是,你可以尽可能地保护自己并使妥协变得困难。
这里最大的危险可能是CSRF。如果您只是显示复制其原始URL的图像,您可以轻松获取声称是图像但实际向任意易受攻击的站点(您的邮件,银行等)发送请求的恶意URL。 Facebook通过实际创建上传的每个图像的副本来处理此问题,因此显示在浏览器中的图像始终是安全的。
如果您有一个程序可以下载图像并生成缩略图,您需要确保该程序可以处理损坏的(恶意)图像,否则可能会被定位并受到损害。