网站上的 PDF 文件是否有最佳实践?

信息安全 Web应用程序 pdf
2021-09-07 22:02:17

当网站提供 PDF 时,用户可以通过两种方式与之交互:

  • 在浏览器中查看
  • 下载它

作为这些文件的宿主,是否存在一种或另一种安全优势?如果我们以一种方式默认功能,对用户来说是否更安全?

1个回答

强制下载文件通常比直接在浏览器中查看文件更安全。然而,就 PDF 而言,Firefox 和 Chrome 中的 PDF 查看器可能比 Adob​​e 或 Foxit 中的更安全和更新

假设您让用户上传 PDF:

  1. 将它们存储在数据库中,而不是文件系统中,除非您确切知道自己在做什么(请参阅路径遍历攻击)

  2. 从不同的域名(如 googleusercontent.com 与 google.com)为它们提供服务,以避免 cookie 盗窃/破坏您的主域

  3. 上传时验证。检查尺寸是否与报告的尺寸相同。检查文件名是否正常。病毒扫描。使用 PDF 库去除嵌入的 JavaScript(你可以试试 Apache PDFBox)

其它你可能感兴趣的问题
上一篇Nmap - 激烈与快速的结果 下一篇Postgres 密码安全