PdfViewer
19
基於pdf.js和內容提供商的簡單Android PDF查看器。該應用不需要任何權限。 PDF流被饋入沙盒網絡瀏覽量,而無需使其訪問內容或文件。 Content-Security-Policy用於強制執行WebView中的JavaScript和样式屬性完全是APK資產的靜態內容。它可以重複使用硬化的鉻渲染堆棧,同時與實際的Web內容相比,僅暴露了攻擊表面的一小部分。 PDF渲染代碼本身在禁用動態代碼評估的情況下是內存安全的,即使攻擊者確實通過利用底層Web渲染引擎來獲得代碼執行,它們在Chromium Renderer Sandbox中,無法訪問網絡(與瀏覽器不同) ,文件或其他內容。
