¿Existe alguna práctica recomendada con respecto a los archivos PDF en el sitio web?

8

Cuando un sitio web proporciona un PDF, hay dos opciones para que un usuario pueda interactuar con él:

  • Verlo en el navegador
  • Descárgalo

Como anfitrión de estos archivos, ¿hay una ventaja de seguridad de una manera u otra? ¿Es más seguro para los usuarios si omitimos la funcionalidad de una manera?

    
pregunta pzirkind 08.03.2017 - 14:54
fuente

1 respuesta

7

En general, es más seguro forzar la descarga de archivos, que verlos directamente en el navegador. Sin embargo, en el caso de los archivos PDF, los visores de PDF en Firefox y Chrome son probablemente más seguros y más actualizados que los de Adobe o Foxit

Suponiendo que permita a los usuarios cargar archivos PDF:

  1. Guárdelos en una base de datos, y no en el sistema de archivos, a menos que sepa exactamente lo que está haciendo (consulte Ataques de trayectoria)

  2. Sirvalos desde un nombre de dominio diferente (como googleusercontent.com vs google.com), para evitar el robo de cookies en su dominio principal

  3. Validar al subir. Verifique que el tamaño sea el mismo que el tamaño reportado. Compruebe que el nombre del archivo se ve bien. Búsqueda de virus. Utilice una biblioteca de PDF para eliminar JavaScript incrustado (puede probar Apache PDFBox)

respondido por el Neil McGuigan 08.03.2017 - 21:36
fuente

Lea otras preguntas en las etiquetas