Universal XSS with PDF files: highly dangerous
■[security]PDFファイルでXSSが可能!危険度高し
[WEB SECURITY] Universal XSS with PDF files: highly dangerous
WebサイトにPDFファイルが置いてある場合、下記のようにすることでスクリプトが実行できてしまうという問題です。
http://path/to/pdf/file.pdf#whatever_name_you_want=javascript:your_code_here
サーバー側の対処としては、標準の「application/pdf」ではなく、「application/octet-stream」で開くようにすればブラウザ内でPDFファイルを開かず、外部アプリケーションとして開くことになるので回避できる様子。ただし、PDFファイルをブラウザ外で開くことになるので、PDFを主なコンテンツとしているようなWebサイトでは使い勝手が変わってしまう。設定変更を実施する際には顧客の理解が必要でしょうか。
設定はbunさんの「"週"記(2007-01-04)」が参考になります。(下記は引用)
↓Apacheの設定
<Files "*.pdf"> Header set Content-Disposition: attachment ForceType application/octet-stream </Files>
ユーザー側の対処としては、Acrobat Readerを Ver.8.0.0以降にするとよいようです。アップデートが必須です。
参考:
http://www.itmedia.co.jp/enterprise/articles/0609/20/news022.html
http://d.hatena.ne.jp/sen-u/20070104/p1
http://mikeneko.creator.club.ne.jp/~lab/web/htaccess/