如何禁止系统上传携带脚本的PDF，避免XSS脚本攻击

1 问题描述

       XSS漏洞全称跨站脚本攻击(Cross-Site Scripting)，是一种常见的Web安全漏洞。攻击者可以通过这个漏洞在用户的浏览器中执行恶意脚本。对于PDF文件来说，PDF文件本身不会执行脚本，但是某些PDF阅读器或者服务可能允许用户在PDF内嵌的HTML内容中执行脚本。如果PDF文件包含了不受信任的HTML内容，攻击者可以通过修改PDF文件来注入恶意的JavaScript代码。如下图，预览PDF时调用浏览器接口弹窗。

2 解决方法

       在苍穹6.0版本下已经支持系统安全参数配置，启用 pdf 文件安全扫描。

       如果系统是5.0版本没有预置这个系统参数，需要配置MC租户级参数 check.file.pdf 为 true ，配置后发布集群即可。

       启用参数后，需要检查另外两个MC集群参数是否配置，可在monitor节点参数搜索确认，没有配置时不会进行安全检查，分别对系统的两种上传控制，上传临时文件服务器与上传文件服务器。如果没有配置需要在环境公共项中增加，保存后发布集群。