Show pdf:s inline again

[foodelevator]

(Written by Herman)

Det här är pga en fix på ett säkerhetshål som fanns ganska länge, där man kunde xssa genom att ladda upp pdfer med javascript i. Det fanns två aktuella fixar:

• Disablea display av PDFer helt och hållet och göra så man behöver öppna dem i ny flik (https://github.com/datasektionen/cashflow/pull/116)
• Sandboxa alla iframes med pdf:er i (https://github.com/datasektionen/cashflow/pull/127).

Den senare av dessa blev mergead, men det visade sig att webbläsare inte vill visa pdfer i sandboxade iframes. (researchade lite och hittade ingen bra lösning)

Så frågan är hur vi vill gå vidare. Tar man bort pdf-visningen? Accepterar man att man xss:er finns? (det som kan göras är typ att få folk med attesträtt att attestera mot deras vilja, eller liknande). Eller vill man leta vidare efter någon annan lösning?

[foodelevator]

Fixed in 2fb2150c8d74a19b9207f9d5f2bdc16ad62f0d31

Tried to replace an uploaded pdf file with just a script tag and it did not render anything so maybe unhackable? I just googled how to embed pdf in html and found the object element thingie