我想允许用户从URL下载图像(与您在imgur.com上看到的相同),我知道如何使用copy()、curl()或file_get_contents,但这是100%安全的吗?
最安全的方法是什么?
感谢
这是100%安全的吗?
没有。什么都不是。
如果你试图防止窃听,攻击者可以弄清楚用户正在下载什么,那么对下载页面上的所有内容使用https就足够了。
即使使用https,攻击者也可能知道。如果有一个特别大的文件,简单的流量分析(看看下载了多少)会告诉你它是什么时候下载的。
如果您允许上传SVG图像,那么,由于它们可以包含并运行脚本,因此在下载和显示时,它们可以打电话回家。
你可能还想看看Tor,它提供了更好的基于浏览器的匿名性。它是基于插件的,但如果你可以建议你的用户使用它,它可以提供额外的保护层——即使窃听者可以知道正在下载什么,也很难知道是谁在下载