PDF.js库有一个选项
isEvalSupported
(可选)确定我们是否可以将字符串作为 JS 进行评估。主要用于 提高字体渲染和解析 PDF 功能时的性能。 默认值为 true。
(可选)确定我们是否可以将字符串作为 JS 进行评估。主要用于 提高字体渲染和解析 PDF 功能时的性能。 默认值为
true
听起来是个坏主意。这有安全隐患吗?
PDF.js 在低于 4.1.392 的版本中打开恶意 PDF 时容易受到任意 JavaScript 执行的影响。这是刚刚发现的,但已经存在很长时间了。