自動ダウンロードトリガー
download 属性、Blob URL、data URL により、明示的なクリックなしでファイルダウンロードが始まるか確認します。
sandbox ポリシー別の挙動
| ポリシー | 想定結果 |
|---|---|
| sandbox 未指定 | 動作 |
sandbox="allow-scripts" | ブロック |
sandbox="" (最も厳格) | ブロック |
Embed スニペット
このスニペットは埋め込み専用ページを使用します。自サービスに貼り付けてレンダリング/ブロックの挙動を確認してください。
<iframe src="https://xss-playground.com/embed/auto-download?lang=ja" title="XSS Playground - 自動ダウンロードトリガー" width="600" height="420" loading="lazy" referrerpolicy="strict-origin-when-cross-origin"></iframe>
実行
// ログなし
解説
- 現在のブラウザはユーザー操作なしの連続ダウンロードを制限しますが、最初の 1 回は通ることがよくあります。信頼された画面で見覚えのないファイルが落ちるだけでもフィッシングのきっかけになります。
sandbox="allow-scripts"では a.click() は動いても、a.downloadによるダウンロードはallow-downloadsがないとブロックされる傾向があります。