Javascript 在PDF.js中,isEvalSupported选项的安全含义是什么
该库有一个选项,描述如下: (可选)确定是否可以将字符串作为JS求值。主要用于 提高字体呈现的性能,以及解析PDF函数时的性能。 默认值为Javascript 在PDF.js中,isEvalSupported选项的安全含义是什么,javascript,pdf.js,Javascript,Pdf.js,该库有一个选项,描述如下: (可选)确定是否可以将字符串作为JS求值。主要用于 提高字体呈现的性能,以及解析PDF函数时的性能。 默认值为true 对于不受信任的PDF来说,这听起来不是个好主意。这有安全隐患吗?潜在的可能性很小,但PDF只评估它自己生成的代码(而不是随机的JS脚本)——因此理论上这不是一个真正的问题。针对这些用法,PDF.js被多次审查。请记住,它是一个web应用程序,更糟糕的是,它可以进行XSS攻击 如果您在PDF查看器中提供不受信任的PDF,并且您在您所在的位置托管,则最好
true对于不受信任的PDF来说,这听起来不是个好主意。这有安全隐患吗?潜在的可能性很小,但PDF只评估它自己生成的代码(而不是随机的JS脚本)——因此理论上这不是一个真正的问题。针对这些用法,PDF.js被多次审查。请记住,它是一个web应用程序,更糟糕的是,它可以进行XSS攻击 如果您在PDF查看器中提供不受信任的PDF,并且您在您所在的位置托管,则最好将其放置在不同的源位置,而不是您的主应用程序www.example.org vs pdfviewer.example.org