Delayed / auto-fire payload
Countdown via URL params, then auto-fire an action. Used to evade immediate user suspicion.
sandbox ポリシー別の挙動
| ポリシー | 想定結果 |
|---|---|
| sandbox 未指定 | 動作 |
sandbox="allow-scripts" | 部分動作 |
sandbox="" (最も厳格) | ブロック |
Embed スニペット
このスニペットは埋め込み専用ページを使用します。自サービスに貼り付けてレンダリング/ブロックの挙動を確認してください。
<iframe src="https://xss-playground.com/embed/delayed-attack?lang=ja" title="XSS Playground - Delayed / auto-fire payload" width="600" height="420" loading="lazy" referrerpolicy="strict-origin-when-cross-origin"></iframe>
실행
액션
지연(초)
// 로그 없음
임베드 페이지 자동 발사
실제 임베드 시에는 사용자 상호작용 없이 자동 실행되도록 URL 파라미터를 넣어두면 됩니다. 예시:
<iframe src="https://xss-playground.com/embed/delayed-attack?auto=top-redirect&delay=5" width="600" height="420"></iframe>
해설
- 사용자가 신뢰하는 서비스 화면을 보고 있는 동안 잠깐 무관한 콘텐츠처럼 보이게 한 뒤 N초 뒤 발사하는 시나리오 재현. 즉시 발사는 사용자 의심을 유발하지만 5~10초 지연은 자연스럽게 보임.
- 모든 액션이 sandbox 정책의 해당 키워드(allow-top-navigation, forms, popups 등) 가 없으면 차단됨.