Allow foriegn origin URLs only for hosted viewers. by yurydelendik - PR #6916 - mozilla/pdf.js で、デフォルトだと同一サーバー上のファイルのみに読み込みが制限されました。

Please notice that generic/demo viewer blocks this functionality if deployed not on mozilla.github.io domain to avoid content spoofing (see https://github.com/mozilla/pdf.js/pull/6916). Can I load a PDF from another server (cross domain request)?

web/viewer.js の ここ に記述したホスト以外では異なるドメインのPDFを読み込まないようになっています。
ここにpdf.jsを動かしたいサーバーのドメインを記述すればよいのですが、本番環境、検証環境、開発環境と色々環境がある場合にそれぞれのドメインは書きたくないです。
なるべく本番環境以外のドメインは隠したいです。

どうするのが一番良いのか。
プラグイン系はなるべく素のままで改変せず使いたいので難しいです(改変すると更新が難しくなる)

セキュリティ的にはあったほうが良いとは思うのですが、この処理を消してしまうほうが楽であるのも事実で……
セキュリティと利便性の両立は中々難しいものです。