Secure PDF Viewer APP
Content-Security-Policy est utilisé pour garantir que les propriétés JavaScript et de style dans WebView sont du contenu entièrement statique provenant des actifs APK et pour bloquer les polices personnalisées puisque pdf.js gère lui-même leur rendu.
Il réutilise la pile de rendu renforcée de Chromium tout en n’exposant qu’un infime sous-ensemble de la surface d’attaque par rapport au contenu Web réel. Le code de rendu PDF lui-même est sécurisé en mémoire avec l'évaluation dynamique du code désactivée, et même si un attaquant obtenait l'exécution du code en exploitant le moteur de rendu Web sous-jacent, il se trouve dans le bac à sable du rendu Chromium avec moins d'accès qu'il n'en aurait dans le navigateur.