Siempre y cuando su servidor y su cliente estén actualizados, los códigos, los estándares y la seguridad del marco: Sí ... >>
Si son mayores: No!
Solo para estar seguro: !!!!!!!
Hubo algunos errores antiguos que causaron problemas con este tipo de cosas en ambos extremos, por lo que los abordaremos por separado.
Problemas del lado del servidor:
Probablemente no sea lo que estás pidiendo, pero quería asegurarme de que esto se solucione también.
En los viejos tiempos de los servidores de archivos planos con áreas de carga, y algunos otros protocolos / programas del lado del servidor, esto presentaba un problema muy grande. Ese problema fue la temida inyección de guiones. Al cargar esta imagen con formato incorrecto, en realidad estaban cargando una secuencia de comandos a la que luego podrían acceder, y usarla para obtener el control del servidor y, posteriormente, también un vector de ataque contra los clientes.
Sin embargo, los marcos más nuevos tienen protección para esto, y si el programador de su servidor vale cualquier cosa , entonces deben conocer estos tipos de ataques y cómo protegerse contra ellos. Esto sigue siendo un problema, incluso hasta el día de hoy en mal estado en sus propios servidores que algunas personas siguen haciendo. Estos programadores pueden ser programadores inteligentes, pero a veces esto simplemente pasa por alto.
En el lado del cliente:
Por su seguridad y protección, no. NUNCA está bien permitir formatos arbitrarios para cualquier cosa. De hecho, nunca está bien permitir que un usuario haga algo arbitrario en absoluto. Hay una razón para esto, y se considera una mejor política de seguridad:
Suponga que TODO el contenido que personalmente no ha producido es peligroso
Por esa razón, nunca debes permitirlo. ¿Por qué? Porque al igual que el contenido está algo fuera de control, las versiones del navegador del cliente están completamente fuera de su control . Esto significa que una persona bien intencionada podría conectarse al lugar donde se encuentra la imagen y ser secuestrada. Alguien estaría usando su código, sitio web y funcionalidad para arruinar la vida de otra persona. No quieres que eso suceda.
El tentativo Sí ..:
Este no es un problema de este tipo siempre y cuando el desarrollador web / servidor esté dispuesto a dedicar tiempo, esfuerzo y funcionalidad para protegerse contra estos ataques y pueda garantizar que y sus clientes están a salvo de estas inyecciones de código. Sin embargo, eso es mucho trabajo, así que es mucho más fácil (por no mencionar que es más seguro para todos) simplemente decir no .
(no se puede decir, pero los puntos suspensivos también están en cursiva ...)