PDF.js 中 isEvalSupported 选项的安全隐患是什么

问题描述 投票:0回答:2

PDF.js库有一个选项

isEvalSupported
,描述如下:

(可选)确定我们是否可以将字符串作为 JS 进行评估。主要用于 提高字体渲染和解析 PDF 功能时的性能。 默认值为 

true

对于不受信任的 PDF,这

听起来是个坏主意。这有安全隐患吗?

javascript pdf.js
2个回答
1
投票
潜在的可能性很小,但 PDF 只评估它自己生成的代码(而不是随机的 JS 脚本)——所以理论上这并不是一个真正的问题。 PDF.js 针对这些用途进行了多次审查。请记住,它是一个 Web 应用程序,更糟糕的是 XSS 攻击。

如果您在 PDF 查看器中提供不受信任的 PDF,并且您在自己的位置托管,则最好位于与主应用程序不同的来源,www.example.org 与 pdfviewer.example.org。

0
投票
eval 不好的一个例子,恶意代码可以被执行。请参阅

PDF.js 在低于 4.1.392 的版本中打开恶意 PDF 时容易受到任意 JavaScript 执行的影响。这是刚刚发现的,但已经存在很长时间了。

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.