Quando un sito Web fornisce un PDF ci sono due opzioni su come un utente potrebbe interagire con esso:
Come host di questi file c'è un vantaggio di sicurezza in un modo o nell'altro? È più sicuro per gli utenti se la funzionalità è predefinita in un modo?
In genere è più sicuro scaricare forzatamente i file che visualizzarli direttamente nel browser. Tuttavia, nel caso dei PDF, i visualizzatori PDF in Firefox e Chrome sono probabilmente più sicuri e aggiornati rispetto a quelli di Adobe o Foxit
Supponendo che gli utenti possano caricare i PDF:
Memorizzali in un database e non sul file system, a meno che tu non sappia esattamente cosa stai facendo (vedi Attacchi Path Traversal)
Servili da un nome di dominio diverso (come googleusercontent.com vs google.com), per evitare il furto di cookie / clobbering sul tuo dominio principale
Convalida al caricamento. Verifica che la dimensione sia uguale a quella riportata. Verifica che il nome del file sia ok. Scansione dei virus. Utilizzare una libreria PDF per rimuovere il codice JavaScript incorporato (si potrebbe provare Apache PDFBox)
Leggi altre domande sui tag pdf web-application