做网页开发时，允许用户输入url图片地址来作为自己的头像有什么风险？

这个事情还真的发生过，QQ在去年修改之前，一直允许用户自定义转发的消息卡片内的图片链接url。

然后就被玩出花来了，一些常见的破坏性的事件我举一下:

1.流量黑洞，这是因为把图片设置为阿里云的网速测速链接，然后用户的设备里面的QQ就会一直保持最高网速加载那张图片，最后流量耗尽，房子归移动。

这个事情是导致QQ最终把加载图片取消掉的最关键因素，因为真的太恶心人了，我自己就碰到了好几次，一没注意2G没了。

2.隐私窃取，只要把对应的卡片（经常伪装成一个新闻卡片）转发给别人。别人的设备就会加载对应的API，但是API同时也是用户控制的，会自动获取相应的IP地址，从而导致了用户隐私的泄露。

3.伪造官方消息，很多人就会被图片里面的腾讯官方logo所迷惑等等，还有假红包之类的。玩法很多，QQ那么多员工就这样几年后才后知后觉。

后面还发生了一件事情就是QQ内部的网页如果开启手机摄像头那么就因为QQ的权限原因会自动获取手机摄像头权限，从而导致大量大量大量的人隐私泄露。（就是你打开看上去是一个普通的新闻链接，但事实上你就被拍照片了，如果正在洗澡的话，那就BBQ了）。

这件事情没有上热搜，但是保守估计这件事情有上千万人次被拍过。因为这个事情本来就是在圈子里面内部流传的，后面有一个人做了一个免费网站，开放给大家免费使用。如果在2021年暑期有陌生网友给你发过链接的话，可能就中招了。

SO，QQ后面就对网页搞黑名单访问制（达到一定量就自动上黑名单）了。

QQ的安全机制真是一言难尽。。。。。。。