Безопасно ли слепо доверять URL-адресам изображений и выводить их в tags html img на сайте? Может ли он использоваться для ввода кода?

Мне нужно обработать фид от поставщика данных, в этом канале они предоставляют нам URL-адрес изображения, в настоящее время мы загружаем их и сохраняем их на нашем собственном медиа-сервере, но мне было интересно, можно ли просто получить URL-адрес и вывести его непосредственно в html как атрибут src тега img.

Моя главная проблема заключается в том, что это дает нам возможность помещать файлы под этим URL-адресом, которые могли бы запускать вредоносные скрипты / делать что-то другое, кроме рендеринга изображения (или не отображать изображение, если оно не является / не существует , что прекрасно)

Будет ли атрибут img src отображать только изображения, или он загрузит файл, указанный в URL-адресе, в браузер пользователя независимо от того, что это такое?

Я могу проверить на этапе импорта, что URL-адрес, по крайней мере, является допустимым URL-адресом изображения, поэтому он будет иметь когда-либо только .jpg или что-то еще в качестве расширения, но, очевидно, это может позволить им перенаправить на что-то другое.

URL-адреса изображений могут, конечно же, указывать на сценарии (с некоторой перезаписи URL-адресов), но нет никакого риска получить сценарий от загрузки изображения. Данные URL-адреса рассматриваются как данные двоичного изображения, а не как исполняемый текст / скрипт.

Если это сценарий, для вашего браузера это не что иное, как поврежденный файл изображения. Таким образом, никакие инъекции кода не рискуют. По крайней мере, это то, что я знаю.