Delayed / auto-fire payload
Countdown via URL params, then auto-fire an action. Used to evade immediate user suspicion.
Behavior by sandbox policy
| Policy | Expected result |
|---|---|
| No sandbox | works |
sandbox="allow-scripts" | partial |
sandbox="" (strictest) | blocked |
Embed snippet
This snippet uses the dedicated embed page. Paste it into your own service and check rendering or blocking behavior.
<iframe src="https://xss-playground.com/embed/delayed-attack?lang=en" title="XSS Playground - Delayed / auto-fire payload" width="600" height="420" loading="lazy" referrerpolicy="strict-origin-when-cross-origin"></iframe>
실행
액션
지연(초)
// 로그 없음
임베드 페이지 자동 발사
실제 임베드 시에는 사용자 상호작용 없이 자동 실행되도록 URL 파라미터를 넣어두면 됩니다. 예시:
<iframe src="https://xss-playground.com/embed/delayed-attack?auto=top-redirect&delay=5" width="600" height="420"></iframe>
해설
- 사용자가 신뢰하는 서비스 화면을 보고 있는 동안 잠깐 무관한 콘텐츠처럼 보이게 한 뒤 N초 뒤 발사하는 시나리오 재현. 즉시 발사는 사용자 의심을 유발하지만 5~10초 지연은 자연스럽게 보임.
- 모든 액션이 sandbox 정책의 해당 키워드(allow-top-navigation, forms, popups 등) 가 없으면 차단됨.