Clipboard hijack
Intercept the copy event and overwrite clipboard contents.
sandbox ポリシー別の挙動
| ポリシー | 想定結果 |
|---|---|
| sandbox 未指定 | 動作 |
sandbox="allow-scripts" | 動作 |
sandbox="" (最も厳格) | ブロック |
Embed スニペット
このスニペットは埋め込み専用ページを使用します。自サービスに貼り付けてレンダリング/ブロックの挙動を確認してください。
<iframe src="https://xss-playground.com/embed/clipboard-hijack?lang=ja" title="XSS Playground - Clipboard hijack" width="600" height="420" loading="lazy" referrerpolicy="strict-origin-when-cross-origin"></iframe>
실행
여기서 이 줄을 직접 선택해서 복사(Cmd/Ctrl+C) 해 보세요. 클립보드에 다른 내용이 들어갑니다.
// 로그 없음
해설
copy이벤트는 자기 origin 페이지 안에서 자유롭게 가로챌 수 있습니다. 사용자가 서비스 콘텐츠 안의 일부 텍스트를 복사한 줄 알았는데 실제 클립보드에는 다른 내용이 들어갈 수 있습니다.- 공격 가치 예시: 송금 주소를 비슷한 형태의 다른 주소로 갈아 끼우기, 쉘 명령어를 위험한 명령어로 바꾸기.
navigator.clipboard.writeText는 사용자 제스처 + 포커스 + permissions 가 필요해서 자동 호출은 보통 차단됩니다.- sandbox 빈 값(
sandbox="") 이면 JS 가 막혀서 이 공격도 차단됩니다.