Clipboard hijack
Intercept the copy event and overwrite clipboard contents.
Behavior by sandbox policy
| Policy | Expected result |
|---|---|
| No sandbox | works |
sandbox="allow-scripts" | works |
sandbox="" (strictest) | blocked |
Embed snippet
This snippet uses the dedicated embed page. Paste it into your own service and check rendering or blocking behavior.
<iframe src="https://xss-playground.com/embed/clipboard-hijack?lang=en" title="XSS Playground - Clipboard hijack" width="600" height="420" loading="lazy" referrerpolicy="strict-origin-when-cross-origin"></iframe>
실행
여기서 이 줄을 직접 선택해서 복사(Cmd/Ctrl+C) 해 보세요. 클립보드에 다른 내용이 들어갑니다.
// 로그 없음
해설
copy이벤트는 자기 origin 페이지 안에서 자유롭게 가로챌 수 있습니다. 사용자가 서비스 콘텐츠 안의 일부 텍스트를 복사한 줄 알았는데 실제 클립보드에는 다른 내용이 들어갈 수 있습니다.- 공격 가치 예시: 송금 주소를 비슷한 형태의 다른 주소로 갈아 끼우기, 쉘 명령어를 위험한 명령어로 바꾸기.
navigator.clipboard.writeText는 사용자 제스처 + 포커스 + permissions 가 필요해서 자동 호출은 보통 차단됩니다.- sandbox 빈 값(
sandbox="") 이면 JS 가 막혀서 이 공격도 차단됩니다.