Dato che il PDF usa postscript per il suo layout di pagina mentre le pagine web usano HTML e CSS, sarebbe estremamente difficile scrivere javascript che svolgerebbe qualsiasi funzione utile su entrambi i media. Ciò non vuol dire che potrebbe essere possibile scrivere javascript come target della conversione PDF e inviarlo tramite una pagina Web, tuttavia è un buon motivo per escludere il javascript dall'output PDF prima di considerare l'angolo di sicurezza.
Sicuramente nel caso di una copia cartacea, il PDF viene convertito in un formato stampabile da ghostscript, che non ha un motore Javascript. Quindi l'unico vettore di attacco valido è print-to-file.
Non sarebbe difficile verificare se javascript persiste nella conversione iniziale dei PDF usando gli strumenti Didier Steven .