Jak się wrzuci linka na hejto i dany link ma obrazek w open graph to hejto bierze url tego obrazka i serwuje nam bezpośrednio w <img src="external-url" />
na ile patrzyłem czy można jakiś XSS atak zrobić w ten sposób to nie znalazłem nic.
Jedyne realne minusy które znalazłem:
- jak ktoś linkuje do tiktok.com, facebook.com etc. to te strony dostają request za każdym razem jak ktoś widzi wpis na hejto więc mogą sobie lepiej traktować takie osoby (wiedzą kto prosił o obrazek do jakiego urla i w referze pewnie widzą hejto), chyba mogą ciasteczko sobie na kogoś założyć - duży minus do prywatności
- można na swojej stronie wrzucić link do obrazka który waży pół tony i komuś zamulić stronę (?)
Plus i przyczyna dlaczego hejto tak robi to nie musi tych obrazków hostować i serwować, ale bardzo ciężko znaleźć portale które taką optymalizacje kosztem prywatności mają. Jak wyślecie coś na whatsappie czy signalu to miniaturka się nigdy nie odświeża, bo nawet w prywatnej komunikacji te apki wchodzą na stronę generują miniaturkę i jeśli nie jest klienta to te linki nie wiedzą, że były oglądane i przez kogo.