Questa è la mia situazione: un utente carica un file pdf sul mio server. I dati viaggiano codificati in base64 (come un normale input in un modulo). Base64 viene salvato in un particolare file sul mio server. Ora, un altro utente vuole accedere a quel pdf, così chiama un endpoint specifico del mio server che ritorna alla stringa pdf codificata in base 64 (in un json, tra gli altri dati).
Ora, per mostrare il pdf, sto usando il tag dell'oggetto html, come questo:
<object id="byte_content" data="" type="application/pdf" width="100%" height="450px"></object>
...
document.getElementById('byte_content').data = 'data:application/pdf;base64,'+json.base64pdf;
Infine, queste sono le mie domande:
- Sul lato server, se non apro mai / eseguo il file che contiene la stringa base64, sono protetto da qualsiasi tipo di attacco, giusto?
- Sul lato client, il tag object esegue il contenuto embed in a ambiente sandbox? Ad esempio, un utente malintenzionato può inserire un javascript codice nel pdf che ruba i cookie o qualche altro attacco XSS?
Se hai bisogno di informazioni più specifiche, ti preghiamo di dirlo. Scusa per il mio pessimo inglese, e grazie in anticipo.