使用福昕pdf编辑器,新建一个pdf文件,选择javascript-文档javascript。
添加脚本xss代码内容输入app.alert('XSS');
保存后使用google浏览器打开,就会显示弹窗
某些 PDF 阅读器可能存在安全漏洞,攻击者可以通过构造特定的 JavaScript 代码,结合这些漏洞来进行攻击,例如执行任意代码或导致程序崩溃。这些类型的攻击通常依赖于 PDF 阅读器的具体实现和已知的漏洞,而不是 JavaScript 本身。
预防措施:
- 关闭 PDF JavaScript:大多数现代 PDF 阅读器允许用户禁用 PDF 中的 JavaScript 执行,以防止此类攻击。用户可以选择在设置中关闭这项功能。
- 使用受信任的 PDF 阅读器:确保使用最新版本的 PDF 阅读器,并且从官方和受信任的渠道下载 PDF 文件。
- 文档签名:通过数字签名来验证 PDF 文档的来源和完整性,防止恶意文档传播。
结论:
可以通过欺骗手段、表单提交、恶意链接等方式造成安全隐患。因此,用户应小心来自不信任来源的 PDF 文档,并采取措施减少可能的风险。