1

我们在 WebLogic 上部署了一个基于 Java 的 Web 应用程序。我们提供了一些 PDF 文件的直接链接,用户可以在浏览器中下载/打开这些文件。我们的安全团队声称允许在浏览器中打开 PDF 文件存在安全风险。因此,他们希望强制用户先下载 PDF 文件,而不是在浏览器窗口中打开它们。

  1. 这真的存在安全风险吗?

  2. 如果 PFD 是 trogen/易受攻击的,为什么先下载文件并打开它可以解决问题?

  3. 他们是否以编程方式阻止用户在浏览器窗口中打开 PDF 文件并强制首先下载 PDF 文件?

4

2 回答 2

1

强制浏览器为 PDF 提供下载选项:

response.setHeader("Content-Disposition", "attachment;filename=\"" + filename + "\"");

于 2013-07-30T17:37:53.150 回答
0

强制用户先保存 PDF 文件然后再打开它实际上可能比允许它在浏览器中打开更危险。

这不是更好:

  • 您的 PDF 阅读器(可能是 Adob​​e Reader)中的任何漏洞都会被触发,无论是现在还是以后打开。
  • 任何体面的病毒扫描程序都能够在打开 PDF 之前对其进行扫描,无论 PDF 是下载到临时 Internet 文件夹还是其他用户选择的文件夹(例如下载)。(但如果这些是您的 PDF 文件,病毒可能就不是什么大问题了。)

但情况可能更糟:

  • 如果客户端是火狐,那么允许直接打开pdf会导致使用PDF.js,可能比Adobe Reader更安全。在绕过此客户端时,您会使您的用户面临更大的风险。
  • 您正在调节用户从 Internet 下载和打开文件。一个小问题,但你越能避免这种情况越好。
于 2013-07-29T17:53:45.010 回答