PDF.js中isEvalSupported选项的安全含义是什么?

时间:2018-03-15 12:03:05

标签: javascript pdf.js

PDF.js库有一个选项isEvalSupported,其描述如下:

  

(可选)确定我们是否可以将字符串作为JS进行评估。主要习惯   提高字体渲染的性能,以及解析PDF函数时的性能。   默认值为true

这个听起来对于不受信任的PDF来说是一个糟糕的主意。这有安全隐患吗?

1 个答案:

答案 0 :(得分:1)

可能有一个很小的可能性,但PDF只会破坏它自己生成的代码(不是随机的JS脚本) - 所以理论上它并不是真正的问题。 PDF.js已针对这些用法进行了多次审核。请记住,它是一个Web应用程序,更糟糕的是它可以做XSS攻击。

如果您在PDF查看器中提供不受信任的PDF并且您在所在地托管,则最好将其放置在与主应用程序不同的来源,www.example.org与pdfviewer.example.org。