有什么安全漏洞可以通过包括通过外部图片在我的网站出现img标签，以及如何避免呢？

我目前只检查扩展和mime-type图像的上提交（即后就可以改变URL提交）和URL是把它在消毒前src属性。

有可能在这里做是谁在风险之间的区别。

如果你正在做的是保存的网址，而不是将图像上传到您的服务器，那么你的网站可能是安全的，任何潜在的风险是你的用户谁查看您的网站。

从本质上说，你把你的信任的浏览器厂商的可靠性。 事情可能是好的，但如果在某些浏览器用户使用的一个安全漏洞是要出现的包含恶意代码的参与正确分析图像，那么它就是你的用户谁最终会为它付出代价（你会发现GIFAR有趣）。

归结到一点，你是否信任浏览器厂商做出的安全软件，以及您是否信任你的用户不会上传的网址可能包含某些浏览器漏洞的图像。 什么现在可能是安全的可能不是安全来的下一个版本。

可以暴露在主孔是其中损坏的图像会导致浏览器内缓冲器溢出，从而允许任意代码执行。

如果你只把图像转换成一个<img>标签有shoudln't是与发送替代MIME类型的任何安全漏洞，但是，千万不要低估某些Web浏览器开发者的愚蠢...

嗯，很明显，你不这样做对数据的任何检查，因此数据可以是任何东西（MIME类型由远程服务器报告并不一定说实话）。 此外，如你所说，在远程服务器上的数据是可以改变的，因为你永远看着它提交后。

因此，如果该链接被投入可以说，一个<IMG SRC =“...” />，那么浏览器可能在图像处理上存在漏洞，可被利用。

“消毒”的URL不与任何帮助：有人提交指向一个链接到一个“坏”的形象是不会攻击自己的服务器。