• [WEB SECURITY] Universal XSS with PDF files: highly dangerous

WebサイトにPDFファイルが置いてある場合、下記のようにすることでスクリプトが実行できてしまうという問題です。

http://path/to/pdf/file.pdf#whatever_name_you_want=javascript:your_code_here

サーバー側の対処としては、標準の「application/pdf」ではなく、「application/octet-stream」で開くようにすればブラウザ内でPDFファイルを開かず、外部アプリケーションとして開くことになるので回避できる様子。ただし、PDFファイルをブラウザ外で開くことになるので、PDFを主なコンテンツとしているようなWebサイトでは使い勝手が変わってしまう。設定変更を実施する際には顧客の理解が必要でしょうか。

設定はbunさんの「"週"記(2007-01-04)」が参考になります。（下記は引用）

<Files "*.pdf">
Header set Content-Disposition: attachment
ForceType application/octet-stream
</Files>

ユーザー側の対処としては、Acrobat Readerを Ver.8.0.0以降にするとよいようです。アップデートが必須です。

• Adobe – Adobe Readerのダウンロード