Cuando un sitio web proporciona un PDF, hay dos opciones para que un usuario pueda interactuar con él:
Como anfitrión de estos archivos, ¿hay una ventaja de seguridad de una manera u otra? ¿Es más seguro para los usuarios si omitimos la funcionalidad de una manera?
En general, es más seguro forzar la descarga de archivos, que verlos directamente en el navegador. Sin embargo, en el caso de los archivos PDF, los visores de PDF en Firefox y Chrome son probablemente más seguros y más actualizados que los de Adobe o Foxit
Suponiendo que permita a los usuarios cargar archivos PDF:
Guárdelos en una base de datos, y no en el sistema de archivos, a menos que sepa exactamente lo que está haciendo (consulte Ataques de trayectoria)
Sirvalos desde un nombre de dominio diferente (como googleusercontent.com vs google.com), para evitar el robo de cookies en su dominio principal
Validar al subir. Verifique que el tamaño sea el mismo que el tamaño reportado. Compruebe que el nombre del archivo se ve bien. Búsqueda de virus. Utilice una biblioteca de PDF para eliminar JavaScript incrustado (puede probar Apache PDFBox)
Lea otras preguntas en las etiquetas web-application pdf