assertSafePdf: PDF-Streams vor Pattern-Scan ausblenden

Stage-Bug: User lädt zwei Handy-JPGs als PDF hoch → 415 mit
"PDF enthält JavaScript-Action". Die JPEG-Bytes im jsPDF-Output
enthielten zufällig die Byte-Folge "/JavaScript" → Pattern-Match
auf Binär-Daten statt PDF-Struktur.

Fix: stream..endstream-Blöcke vor dem Scan rauspatchen. Echte
PDF-Actions stehen IMMER außerhalb von Streams (Object-Dictionaries),
Binär-Streams (Bilder/Fonts/Komprimiertes) werden ignoriert.

Smoke-Test: jspdf-Style-PDF mit /JavaScript-Bytes im Stream
durchgewinkt, echte /OpenAction /S /JavaScript blockiert,
clean PDF OK.

backend/src/utils/sanitize.ts

@@ -276,9 +276,14 @@ export function assertSafePdf(buf: Buffer): void {
   if (buf.length < 5 || buf.subarray(0, 5).toString('latin1') !== '%PDF-') {
     return; // keine PDF → andere Validatoren zuständig
   }
-  const content = buf.toString('latin1');
+  // Stream-Inhalte (Bilder/Fonts/Komprimiertes) aus dem Scan rausnehmen.
+  // Jpeg-Bytes können zufällig "/JavaScript" enthalten → false-positive
+  // bei jsPDF-generierten PDFs mit eingebetteten Fotos (stage-Bug
+  // 2026-06-03). Echte aktive PDF-Inhalte stehen IMMER im PDF-
+  // Object-Stream (außerhalb von `stream..endstream`-Blöcken).
+  const scanTarget = buf.toString('latin1').replace(/stream\s[\s\S]*?endstream/g, '');
   for (const { pattern, label } of PDF_DANGER_PATTERNS) {
-    if (pattern.test(content)) {
+    if (pattern.test(scanTarget)) {
       throw new ApiError(
         415,
         `PDF enthält nicht erlaubte aktive Inhalte (${label}). Bitte ohne JavaScript / Auto-Actions / eingebettete Dateien hochladen.`,