من یک بار با یک نوع جالب بسیار XSS در یک وب سایت کاملاً تصادفی روبرو شدم. این وب سایت به کاربران امکان بارگذاری PDF ها را می دهد و PDF را با مرورگر Javascript در مرورگر باز می کند. اتفاقی که افتاد این بود که من یک کاغذ معدن را بارگذاری کردم که حاوی متن است ، و هنگامی که سعی کردم PDF را باز کنم ، اسکریپت به طرز جادویی در مرورگر اجرا شد. من این مسائل را به مدیر وب سایت گزارش کردم ، آنها آن را برطرف کردند اما به من نگفتند که چه اتفاقی افتاده است. آنچه که من هم پیدا کردم این است که این متن فوق باید با قلم خاصی باشد تا اجرا شود (متأسفانه فراموش کردم چه فونتی است).

امروز ، من در حال کپی کردن یک متن از یک PDF هستم که ذخیره شده است. یک صفحه وب ، متن را به یک سند کلمه ای بچسبانید ، و من پیدا کردم آنچه در PDF نمایش داده می شود به عنوان "معتبر" تبدیل به "تصدیق" شد. باز هم ، فقط برای یک فونت خاص اتفاق می افتد ، قلم موجود در آن PDF "sans open" است ، یک قلم سیمی که ویرایشگر PDF من ندارد ، اما هنوز هم می تواند نمایش دهد.

من دانش بسیار محدودی در مورد PDF و فونت ها و رمزگذاری دارم ، نمی دانم که آیا کسی که دانش دارد می تواند دلایل اصلی مشاهده اول و دوم من را توضیح دهد. مورد اول قطعاً نقض XSS است ، اما آیا دومی ممکن است خطرات امنیتی را تحمل کند؟