Dado que PDF utiliza postscript para su diseño de página mientras que las páginas web usan HTML y CSS, sería extremadamente difícil escribir javascript que realizaría cualquier función útil en ambos medios. Esto no quiere decir que sea posible escribir javascript para la conversión de PDF y entregarlo a través de una página web, sin embargo, es una buena razón para excluir el javascript de la salida de PDF antes de considerar el ángulo de seguridad.
Ciertamente, en el caso de generar una copia impresa, el PDF se convierte a un formato imprimible mediante ghostscript, que no tiene un motor de Javascript. Por lo tanto, el único vector de ataque viable es imprimir en un archivo.
No sería difícil probar si javascript persiste en la conversión de PDF inicial usando las herramientas Didier Steven .