PDF.js库有一个选项isEvalSupported
,其描述如下:
(可选)确定我们是否可以将字符串作为JS进行评估。主要习惯 提高字体渲染的性能,以及解析PDF函数时的性能。 默认值为
true
。
这个听起来对于不受信任的PDF来说是一个糟糕的主意。这有安全隐患吗?
答案 0 :(得分:1)
可能有一个很小的可能性,但PDF只会破坏它自己生成的代码(不是随机的JS脚本) - 所以理论上它并不是真正的问题。 PDF.js已针对这些用法进行了多次审核。请记住,它是一个Web应用程序,更糟糕的是它可以做XSS攻击。
如果您在PDF查看器中提供不受信任的PDF并且您在所在地托管,则最好将其放置在与主应用程序不同的来源,www.example.org与pdfviewer.example.org。