是否可以通过PDF Javascript进行XSS攻击?
我的问题是如何在浏览器中执行PDF中的Javascript 我在PDF中遇到了以下javascript代码:是否可以通过PDF Javascript进行XSS攻击?,javascript,google-chrome,pdf,browser,xss,Javascript,Google Chrome,Pdf,Browser,Xss,我的问题是如何在浏览器中执行PDF中的Javascript 我在PDF中遇到了以下javascript代码: /Type /Action /S /JavaScript /JS (app.alert({cMsg: 'Hello from PDF JavaScript', cTitle: 'Testing PDF JavaScript', nIcon: 3});) 这段代码似乎像alert()一样在浏览器上发出警报 我的问题是,它真的可以像cookies一样访问浏览器的数据,或者像真正的XSS攻击
/Type /Action
/S /JavaScript
/JS (app.alert({cMsg: 'Hello from PDF JavaScript', cTitle: 'Testing PDF JavaScript', nIcon: 3});)
这段代码似乎像alert()一样在浏览器上发出警报
我的问题是,它真的可以像cookies一样访问浏览器的数据,或者像真正的XSS攻击那样进行重定向,或者是否涉及到某种沙箱
如果可能,请以pdf格式给出document.cookie的示例
PS:我指的不是Adobe API,而是通过浏览器打开的PDF。如果你发布的是来历不明的PDF文件,这只是一个XSS。没有标准w.r.t。在浏览器中显示PDF,当前Chrome使用的插件可能完全是沙盒,Firefox使用它作为扩展,并将其加载到沙盒iframe中(当加载到已创建的文档中时)。不管怎么说,大多数浏览器可能只在其阅读器中实现了部分,而且,我认为没有任何东西允许从您自己的文档中隐藏数据。如果您发布的是来源未知的PDF文件,则只有XSS。没有标准w.r.t。在浏览器中显示PDF,当前的Chrome使用插件,它可能是完全沙盒的,Firefox使用它作为扩展,并将其加载到沙盒iframe中(当加载到一个文件中时)。无论如何,大多数浏览器可能只会在它们的阅读器中实现一部分,而且,我不认为有任何东西允许从您自己的文档中隐藏数据。