1. 首頁
  2. 問答
  3. 在瀏覽器惡意打開PDF文件

在瀏覽器惡意打開PDF文件

2013-07-27 63 views
1

我們在WebLogic上部署了基於Java的Web應用程序。我們提供了一些PDF文件的直接鏈接,用戶可以在瀏覽器中下載/打開它們。我們的安全團隊聲稱允許在瀏覽器中打開PDF文件存在安全風險。因此,他們希望強制用戶先下載PDF文件,而不是在瀏覽器窗口中打開它們。在瀏覽器惡意打開PDF文件

  1. 這真有安全隱患嗎?

  2. 如果PFD是一個trogen /脆弱的,如何下載文件並打開它可以解決問題?

  3. 他們的方式是以編程方式阻止用戶在瀏覽器窗口中打開PDF文件並強制首先下載PDF文件?

來源

2013-07-27 Fahim

+1

您是否嘗試設置響應內容類型爲:response.setContentType(「application/force-download」); http://stackoverflow.com/questions/6520231/how-to-force-browser-to-download-file – HRgiger

+1

感謝評論@HRgiger。系統中的pdf文件由CMS添加。這個CMS直接鏈接到PDF。即主機:7001/contextroot/files/fileName.pdf。 (文件不是由輸出流寫入的。)那麼如何設置內容類型。編寫一個Servlet過濾器將是一個解決方案? – Fahim

+0

好吧,我會給一個鏡頭:) – HRgiger

回答

0

強制用戶先保存PDF文件然後打開它實際上可能比讓它在瀏覽器中打開更具風險。

這不是更好:

  • 在您的PDF閱讀器(可能ADOBE READER)任何漏洞就會被觸發,無論是現在還是以後打開。
  • 任何體面的病毒掃描程序都可以在打開PDF之前掃描PDF,而不管PDF是否被下載到臨時Internet文件夾或某個其他用戶選擇的文件夾(例如下載)。 (但是,如果這些是你的PDF文件,病毒可能是沒有太大的關注)

但它可能會更糟:

  • 如果客戶是火狐,然後讓PDF可直接打開將導致使用PDF.js,這可能是Adobe Reader的more secure。繞過這個客戶端,你暴露了你的用戶更大的風險。
  • 您正在調節用戶從互聯網下載和打開文件。小點,但越多,你可以避免這個更好。

來源

2013-07-29 17:53:45 Michael

1

強制瀏覽器給下載選項的PDF:

response.setHeader( 「內容處置」, 「附件;文件名= \」 「+文件名+ 」\「」);

來源

2013-07-30 17:37:53

相關問題

 相關問題