我想允许用户从网址下载图片 (就像你在imgur.com上看到的那样),我知道如何用copy()或curl()或file_get_contents这样做但是100%安全吗?
最安全的方法是什么?
由于
答案 0 :(得分:1)
100%安全吗?
没有。什么都没有。
如果您正在尝试防止窃听,攻击者可以在哪里找出用户正在下载的内容,那么在下载页面上使用https应该足以满足与网络相关的任何内容。
即使使用https,攻击者也许能够说出来。如果有一个特别大的文件,简单的流量分析(查看下载量)将告诉您何时下载。
如果您允许上传SVG图像,那么,由于它们可以包含和运行脚本,因此可以在下载和显示时通过电话回家。
您可能还想查看Tor,它提供了更好的基于浏览器的匿名性。它是基于插件的,但如果您可以建议您的用户使用它,它可以提供额外的保护层 - 即使窃听者可以告诉您正在下载的内容,也很难判断谁正在下载它。