Esta es mi situación: un usuario carga un archivo pdf en mi servidor. Los datos viajan codificados en base64 (como una entrada regular en un formulario). La base64 se guarda en un archivo particular en mi servidor. Ahora, otro usuario desea acceder a ese pdf, por lo que llama a un punto final específico de mi servidor que retoma la cadena de pdf codificada en base64 (en un json, entre otros datos).
Ahora, para mostrar el pdf, estoy usando la etiqueta de objeto html, como esta:
<object id="byte_content" data="" type="application/pdf" width="100%" height="450px"></object>
...
document.getElementById('byte_content').data = 'data:application/pdf;base64,'+json.base64pdf;
Finalmente, estas son mis preguntas:
- En el lado del servidor, si nunca abro / ejecuto el archivo que contiene la cadena base64, estoy protegida de cualquier tipo de ataque, ¿verdad?
- En el lado del cliente, ¿la etiqueta de objeto ejecuta el contenido incrustado en un ¿Entorno de caja de arena? Por ejemplo, ¿puede un atacante poner algún javascript? ¿Código en el pdf que roba las cookies o algún otro ataque XSS?
Si necesita más información específica, por favor dígaselo. Lo siento por mi mal inglés, y gracias de antemano.