让我虚惊一场的 PDF “XSS 漏洞”

手上负责的一个项目收到了一份来自外部的漏洞报告，演示了一个跟鉴权有关的 bug （此 bug 与上传文件无关，这里原本就是允许用户上传文件的） 这个 bug 不是什么疑难杂症，很快就修好了。反倒是报告最底下的补充说明让我大吃一惊： 并且可上传 xss 文件进一步扩大危害，可诱导成员点击进一步获取 cookie 等信息 什么？pdf 居然支持嵌入 js！？而且浏览器还会执行！？ 完了完了，居然有这么严重的问题，要知道用户上传的文件都存在一个二级域名指向的静态存储里。要是有哪个 cookie 的 dom