Я читал, что URL-адреса изображений без расширений обычно приемлемы с правильным содержимым. введите набор заголовков.
Однако, если сценарий создает изображение и устанавливает тип содержимого, но URL-адрес в теге изображения, например, .php, отклонит ли какой-либо браузер запрос как потенциально вредоносный?
Например:
<?php
// myimage.php
header( 'Content-Type: image/jpeg' );
echo read_file_contents( 'someimage.jpg.in' );
а также
<img src="myimage.php" />
Нет — браузер не отклонит запрос как потенциально вредоносный.
Для этого подхода важен заголовок ответа, определяющий тип содержимого.
Два примера:
Многие финансовые сайты используют этот подход для динамического создания своих биржевых диаграмм (но большинство из них перешли на решения JS).
Так выглядит логотип официального сайта PHP.
http://php.net/images/logo.php
Заголовок ответа содержит «Content-Type:image/png».
А это его исходный код: https://github.com/php/web-php/blob/master/images/logo.php
Расширение файла не имеет отношения к браузеру. Содержимое определяется типом mime.
По моему опыту, MP3, изображения и многие другие файлы обслуживаются как «.php» на многочисленных веб-сайтах без проблем.
