Estoy creando una aplicación web donde un usuario puede actualizar su avatar subiendo una imagen de su directorio de archivos de computadora. Así es como lo implementé:
<input id="profile_pic" class="avatar-upload" type="file">
Sin embargo, me he dado cuenta de que si un usuario cambia type="file" a type="url" , podrá subir una imagen usando cualquier URL. .
Entonces, ¿es una opción segura o debería prohibir a los usuarios que actúen así? ¿Cómo puede ser explotado?
Suponiendo que el usuario envía una URL que luego se almacena en el servidor y se coloca en el enlace de la imagen:
En general, es una buena práctica para los sitios web no entregar información personal sobre sus usuarios (incluidas las direcciones IP) que, si coloca una URL en un servidor que controla con un avatar que solo utilizará ese sitio, un el atacante podría usar para construir una lista de todas las direcciones IP de los usuarios y probablemente incluso hacer referencias cruzadas con ellos cuando están publicando o aparecer como "en línea" para restringir quién es qué IP. Si bien aún es posible recopilar esto (es decir, al publicar un enlace en el mismo, eso incita a los usuarios a hacer clic en él) hacer que se haga automáticamente es una forma incorrecta. Los usuarios no pueden evitar regalar su IP a ningún otro usuario cuando visitan la página. Recomiendo encarecidamente que esto no sea una "característica".
Lea otras preguntas en las etiquetas vulnerability web