PdfViewer
19
基于pdf.js和内容提供商的简单Android PDF查看器。该应用不需要任何权限。 PDF流被馈入沙盒网络浏览量,而无需使其访问内容或文件。 Content-Security-Policy用于强制执行WebView中的JavaScript和样式属性完全是APK资产的静态内容。它可以重复使用硬化的铬渲染堆栈,同时与实际的Web内容相比,仅暴露了攻击表面的一小部分。 PDF渲染代码本身在禁用动态代码评估的情况下是内存安全的,即使攻击者确实通过利用底层Web渲染引擎来获得代码执行,它们在Chromium Renderer Sandbox中,无法访问网络(与浏览器不同) ,文件或其他内容。
