Aquí hay una especie de dos preguntas:
- ¿Es posible tener XSS en un archivo PDF cuando la Disposición de contenido: está "en línea"?
- Si es posible, ¿el pdf obtiene acceso a las cookies para ese dominio de la misma manera que si fuera un archivo html normal?
Si esto solo es posible con ciertos lectores de archivos pdf y / o navegadores específicos, sería bueno saberlo.