En general, es más seguro forzar la descarga de archivos, que verlos directamente en el navegador. Sin embargo, en el caso de los archivos PDF, los visores de PDF en Firefox y Chrome son probablemente más seguros y más actualizados que los de Adobe o Foxit
Suponiendo que permita a los usuarios cargar archivos PDF:
-
Guárdelos en una base de datos, y no en el sistema de archivos, a menos que sepa exactamente lo que está haciendo (consulte Ataques de trayectoria)
-
Sirvalos desde un nombre de dominio diferente (como googleusercontent.com vs google.com), para evitar el robo de cookies en su dominio principal
-
Validar al subir. Verifique que el tamaño sea el mismo que el tamaño reportado. Compruebe que el nombre del archivo se ve bien. Búsqueda de virus. Utilice una biblioteca de PDF para eliminar JavaScript incrustado (puede probar Apache PDFBox)