1 问题描述

       XSS漏洞全称跨站脚本攻击(Cross-Site Scripting)，是一种常见的Web安全漏洞。攻击者可以通过这个漏洞在用户的浏览器中执行恶意脚本。对于PDF文件来说，PDF文件本身不会执行脚本，但是某些PDF阅读器或者服务可能允许用户在PDF内嵌的HTML内容中执行脚本。如果PDF文件包含了不受信任的HTML内容，攻击者可以通过修改PDF文件来注入恶意的JavaScript代码。如下图，预览PDF时调用浏览器接口弹窗。

2 解决方法

       在苍穹6.0版本下已经支持系统安全参数配置，启用 pdf 文件安全扫描。

       如果系统是5.0版本没有预置这个系统参数，需要配置MC租户级参数 check.file.pdf 为 true ，配置后发布集群即可。

       启用参数后，需要检查另外两个MC集群参数是否配置，可在monitor节点参数搜索确认，没有配置时不会进行安全检查，分别对系统的两种上传控制，上传临时文件服务器与上传文件服务器。如果没有配置需要在环境公共项中增加，保存后发布集群。

       配置后实现的效果，上传附件面板时（上传临时文件服务器）：

       上传文件服务器，可使用上传按钮为例测试，不启用临时存储即为直接上传服务器，这里具体业务需要使用插件实现。注意：本地环境，如果没连接线上环境，开启了轻量级启动参数时，上传文件服务器的检查不会生效，会走轻量级文件服务逻辑，可在线上环境测试。

       例如，发票云模块部分业务上传发票是直接上传至附件服务器，开启校验后会提示上传失败。

3 适用版本

       金蝶云·苍穹 V6.0.1