Abbiamo una relazione nella nostra applicazione Web che viene mostrata in formato tabellare in HTML. Questo rapporto ha la possibilità di essere scaricato come PDF facendo clic sul pulsante download as PDF
. La domanda riguarda il modo in cui questa disposizione per il download di PDF viene implementata. Mi è stato detto di scrivere un servizio di back-end in grado di convertire la stringa HTML grezza in PDF scaricabile. Per convertire l'HTML in PDF utilizziamo la libreria The Flying Saucer per Java. Ora il modo in cui questo dovrebbe funzionare è che otterrò contenuti HTML grezzi come stringhe come:
<table id="new-table">
<thead>
<tr>
<th class="model">Column 1</th>
<th class="description">Column 2</th>
<th class="quantity">Column-3</th>
<th class="listDollars">Column-4</th>
<th class="payout">Column-5</th>
</thead>
<tbody>
<tr id="row-H2285" style="background: #FFFFFF;" class="modelRow">
<td class="model">H2285</td>
<td class="description">F125</td>
<td>16</td>
<td class="list"></td>
<td class="Percent">... and so on
Dal front-end nei parametri di richiesta e devo convertire questa stringa HTML usando il disco volante e restituire un file PDF. La mia domanda è che c'è un modo in cui un utente malintenzionato può iniettare codice dannoso all'interno di questo contenuto HTML e inviarlo al servizio di back-end? Quale potrebbe essere dannoso per chiunque apra il file PDF?
Ho cercato su Google problemi di sicurezza nella libreria dei dischi volanti ma non ho trovato nulla. Ma ho trovato questa domanda da questo stesso sito su Come iniettare codice dannoso in pdf o jpeg e ce n'è un altro Rilevamento di javascript dannosi in PDF