隠し form 自動 submit (CSRF-like)
ユーザーに気づかれず外部 domain へ form を submit し、sandbox allow-forms と CSRF 境界を確認します。
sandbox ポリシー別の挙動
| ポリシー | 想定結果 |
|---|---|
| sandbox 未指定 | 動作 |
sandbox="allow-scripts" | 部分動作 |
sandbox="" (最も厳格) | ブロック |
Embed スニペット
このスニペットは埋め込み専用ページを使用します。自サービスに貼り付けてレンダリング/ブロックの挙動を確認してください。
<iframe src="https://xss-playground.com/embed/form-auto-submit?lang=ja" title="XSS Playground - 隠し form 自動 submit (CSRF-like)" width="600" height="420" loading="lazy" referrerpolicy="strict-origin-when-cross-origin"></iframe>
実行
// ログなし
解説
- form submit は cross-origin に送信できます。CSRF になるかは target の cookie SameSite policy に依存します。
sandboxにallow-formsがない場合 submit 自体がブロックされます。host allowlist がないならこの keyword は外すのが安全です。- 外部 domain の response を iframe 内で読むことはできません (SOP)。しかし request が届くこと自体が攻撃になる場合があります。