Ci sono due tipi di domande qui:
- È possibile avere XSS in un file PDF quando Content-Disposition: è "in linea"?
- Se è possibile, il pdf ottiene l'accesso ai cookie per quel dominio come se fosse un normale file html?
Se questo è possibile solo con determinati lettori di file PDF e / o browser, sarebbe bello saperlo.