这是一个安全问题。假设用户 A 登录到 example.com,然后他下载了 example.com 托管的 PDF,并在浏览器中查看。 PDF 中嵌入的 JavaScript 是否能够像登录用户 A 一样访问 example.com 的 API?
或者换句话说,源自 PDF 中 JavaScript 的 API 调用是否会与浏览器可能为该域持有的 session cookie 一起发送到服务器?
最佳答案
Acrobat JavaScript 中有一些与 URL 相关的命令。还有可以检索的路径信息。
与 URL 相关的命令是(列表可能不完整)getURL()、launchURL() 和 submitForm()。它们基本上都可以将数据发送到任何服务器,只要该服务器可以对数据进行处理即可。是否在浏览器中查看 PDF 并不重要。这确实可能是一个安全问题。
但是,对于已经存在的几个版本,至少 Adobe 产品已经内置了一个屏障,它要么完全禁止,要么请求允许联系与文档来源不同的另一台服务器。这意味着,很难在提供商和用户的背后做一些事情。
关于javascript - 在 PDF 中运行的 JavaScript 可以访问下载它的域吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/32597283/