Mozilla上个月发布了Firefox 88。该组织的Firefox Web浏览器的安全性和功能更新对浏览器的本机PDF查看器进行了重大更改。到目前为止,当在浏览器中查看PDF文档时,Firefox仍忽略了JavaScript。执行过程在浏览器中显示了JavaScript文档,但忽略了其中包含的所有JavaScript代码。
Mozilla在Firefox 88中启用了PDF文档中的JavaScript的执行;这意味着如果在Firefox中查看的PDF文件中存在JavaScript代码,则将执行该代码。在PDF文档中支持JavaScript是有正当理由的,例如,可以在表单字段中验证输入,或者在打开文档或发生某些事件时根据数据对文档进行更改。
不幸的是,PDF中的JavaScript也可能用于执行恶意代码。换句话说:在PDF文档中执行JavaScript时,存在安全风险。
大多数Firefox用户可能不需要此功能,因此最好禁用浏览器中PDF文档中JavaScript的执行,以保护系统免受基于JavaScript的攻击。
禁用PDF文档中的JavaScript执行
Firefox用户可以通过以下方式禁用浏览器的本机PDF查看器对JavaScript的执行。请注意,在浏览器的主要设置中没有关闭它的选项。
- 在网络浏览器的地址栏中加载about:config。
- 确认您将继续进行操作。
- 使用顶部的搜索找到pdfjs.enableScripting。
- 单击行末的切换按钮,将首选项设置为FALSE。
- 状态为FALSE会禁用PDF文件中的JavaScript执行。
- 状态为TRUE的情况下,可以在PDF文档中执行JavaScript(默认)
如果首选项设置为FALSE,则Firefox将忽略PDF文档中的JavaScript。
测验
您可以通过加载PDF文档来测试效果,其中包括来自诸如PDF Scripting之类的站点的脚本。只需下载示例PDF文档,然后在Firefox的本机PDF查看器中进行检查,以查看执行是否被阻止