XSS a través de PDF cuando Contenido-Disposición: ¿Inline?

5

Aquí hay una especie de dos preguntas:

  1. ¿Es posible tener XSS en un archivo PDF cuando la Disposición de contenido: está "en línea"?
  2. Si es posible, ¿el pdf obtiene acceso a las cookies para ese dominio de la misma manera que si fuera un archivo html normal?

Si esto solo es posible con ciertos lectores de archivos pdf y / o navegadores específicos, sería bueno saberlo.

    
pregunta greggles 30.04.2014 - 21:34
fuente

1 respuesta

2

Sí, hubo problemas en esta área con el complemento Adobe Acrobat Reader, simplemente busque en Google "cookie de ataque javascript de Adobe Acrobat Plugin". No estoy seguro de si hay problemas similares con los visores JS integrados o si están diseñados para vivir en un origen separado, de modo que la misma política de origen niegue el acceso. No creo que necesites especificar explícitamente el Content-Disposition: inline .

    
respondido por el Steffen Ullrich 01.05.2014 - 09:42
fuente

Lea otras preguntas en las etiquetas