做网页开发时，允许用户输入url图片地址来作为自己的头像有什么风险？

可以考虑加载前做验证：向该url发送*** head请求，判断返回的content-type是否为image，以及是否在限制尺寸以下。

head请求只会获取响应header，不会获取响应体，所以可以一定程度上避免“非图片url”或者“巨型图片”造成的***浪费和页面卡顿问题。

同时，也可以避免XSS（因为把js代码填进来不可能通过上述验证）和XSRF（因为接口不可能接受head请求） 有错误请指正。