我们在 WebLogic 上部署了一个基于 Java 的 Web 应用程序。我们提供一些 PDF 文件的直接链接,用户可以在浏览器中下载/打开这些文件。我们的安全团队声称允许在浏览器中打开 PDF 文件存在安全风险。因此他们想强制用户先下载 PDF 文件,而不是在浏览器窗口中打开它们。
这真的存在安全风险吗?
如果PFD是一个trogen/漏洞,为什么先下载文件并打开它就能解决问题?
他们是否可以通过编程方式阻止用户在浏览器窗口中打开 PDF 文件并强制先下载 PDF 文件?
最佳答案
强制浏览器为 PDF 提供下载选项:
response.setHeader("Content-Disposition", "attachment;filename=\""+ filename + "\"");
关于java - 在浏览器中打开PDF文件漏洞,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/17900349/