Estoy creando una aplicación web donde un usuario puede actualizar su avatar subiendo una imagen de su directorio de archivos de computadora. Así es como lo implementé:
<input id="profile_pic" class="avatar-upload" type="file">
Sin embargo, me he dado cuenta de que si un usuario cambia type="file" a type="url" , podrá subir una imagen usando cualquier URL. .
Entonces, ¿es una opción segura o debería prohibir a los usuarios que actúen así? ¿Cómo puede ser explotado?