在我的一个网站上,用户为文件存储付费,因此他们自然会想要将他们的资源尽可能多地卸载到远程服务器上,特别是因为我限制文件类型以防止我的文件存在危险服务器
在大多数情况下,这不会是一个问题,因为我的服务器给他们提供URL以便他们的机器可以获得它并不危险,但有一种情况可能会出现问题:
我的网站上有一个脚本可以访问我数据库中的所有条目,并返回与该条目相关联的图像的URL以供公众查看。这仍然不会对我的服务器构成威胁,但问题是责任。对于所有其他情况,用户对他们与团队共享的内容负责,但是当它公开时,理论上这可能是一个问题。
在我的网站上显示用户提供的远程图像的风险是什么(如果有的话)以及如何防止责任(除了说用户对我们在服务条款中上传的内容负责)?< / p>
答案 0 :(得分:1)
责任是一个法律问题,而不是技术问题。我们无法就此问题的法律方面给出建议。
但从技术角度来看,您可能会考虑一些问题。例如,托管这些图像的服务器显然会收到查看图像的用户的IP地址。这对您来说是否重要取决于您网站的性质。
需要考虑的另一个问题是,您网站上的网页网址可能会传递到托管图片的服务器(即Referrer HTTP标头中)。如果您的应用程序包含将敏感数据作为URL参数的页面,并且这些页面显示用户指定的图像,则将公开该数据。
最后,恶意(或者至少是聪明的)用户可以指定一个实际上是脚本的图像,该脚本将根据某些变量返回不同的数据。 (或者,甚至更简单:插入后,它们可能会替换另一个文件。)根据您的网站正在做什么,这可能会带来麻烦。例如,如果您的网站对图像大小有限制,用户可以插入一个可接受大小的图像,然后用更大的图像替换该文件。