我们在 WebLogic 上部署了一个基于 Java 的 Web 应用程序。我们提供了一些 PDF 文件的直接链接,用户可以在浏览器中下载/打开这些文件。我们的安全团队声称允许在浏览器中打开 PDF 文件存在安全风险。因此,他们希望强制用户先下载 PDF 文件,而不是在浏览器窗口中打开它们。
这真的存在安全风险吗?
如果 PFD 是 trogen/易受攻击的,为什么先下载文件并打开它可以解决问题?
他们是否以编程方式阻止用户在浏览器窗口中打开 PDF 文件并强制首先下载 PDF 文件?
我们在 WebLogic 上部署了一个基于 Java 的 Web 应用程序。我们提供了一些 PDF 文件的直接链接,用户可以在浏览器中下载/打开这些文件。我们的安全团队声称允许在浏览器中打开 PDF 文件存在安全风险。因此,他们希望强制用户先下载 PDF 文件,而不是在浏览器窗口中打开它们。
这真的存在安全风险吗?
如果 PFD 是 trogen/易受攻击的,为什么先下载文件并打开它可以解决问题?
他们是否以编程方式阻止用户在浏览器窗口中打开 PDF 文件并强制首先下载 PDF 文件?
强制浏览器为 PDF 提供下载选项:
response.setHeader("Content-Disposition", "attachment;filename=\"" + filename + "\"");
强制用户先保存 PDF 文件然后再打开它实际上可能比允许它在浏览器中打开更危险。
这不是更好:
但情况可能更糟: