一、PDF XSS 漏洞核心原理 PDF XSS（PDF 跨站脚本）漏洞是指攻击者通过在 PDF 文件中植入恶意 JavaScript 代码，利用 PDF 阅读器或在线预览工具的安全缺陷，实现代码执行的一类漏洞。与传统网页 XSS 不同，PDF XSS 的载体是 PDF 文件，攻击场景更隐蔽，且依赖于 PDF 处理工具的解析逻辑。 1. PDF 文…

1. XSS 漏洞的原理 核心原理：程序对输入输出未进行合适处理，使得攻击者构造的特殊字符在输出到前端时，被浏览器当作有效代码解析执行，进而产生各种危害。 流程：用户输入恶意脚本→网站未过滤 / 编码→脚本被嵌入网页→受害者访问页面→浏览器将脚本当作正常代码执行。 本质：浏览器无法区分 “用户输入的恶意脚本” 和 “网站自身的合法脚本”，从而执行攻…