В этом типа атаки предполагается, что внедрённый скрипт «постоянно хранится на целевом сервере, например, в базе данных, в форуме сообщений, журнале посетителей, поле комментариев, PDF-файле и т. д. Жертва извлекает и запускает вредоносный скрипт, когда запрашивает сохранённую информацию. Stored XSS также иногда называют Persistent или Type-II XSS.На самом деле классическая атака Stored XSS предполагает, что где-то на сервере хранится HTML-документ, который впоследствии может быть вызван для отображения в браузере посетителя (жертвы). Это действительно является угрозой для безопасности, потому что встроенный скрипт может манипулировать куками (путём доступа к свойствуdocument.cookie), манипулировать хранилищами веб-платформы (IndexedDB,localStorageи т. д.), проводить другие атаки.Но в случае с PDF накладывает серьёзные ограничения на функциональность скриптов в PDF, поэтому хранение таких файлов с активным контентомне является уязвимостью XSS.В документации Chromium написано:PDF-файлы имеют возможность запускать JavaScript, обычно для облегчения проверки полей при заполнении формы. Обратите внимание, что набор привязок, предоставляемых PDF, более ограничен, чем тот, который DOM предоставляет HTML-документам, и PDF-файлы не получают никаких дополнительных полномочий, основанных на домене, с которого они загружаются (например, нетdocument.cookie).Это значит, что область выполнения скриптов из PDF очень ограничена: нет доступа к cookies или хранилищам, очень ограничена возможность делать запросы (можно только перемещать окно документа), нет возможности использовать мощные возможности веб-платформы с объектной моделью DOM, объектамdocument,window,navigatorи др. Хотя возможности JavaScript в PDF крайне ограничены, но программам для просмотра PDF следует быть осторожными и внимательно следить, чтобы случайно не выйти за рамки безопасных ограничений.