通知権限リクエスト / push hijack
Notification.requestPermission を呼び出し、権限 prompt と後続のフィッシング通知リスクを確認します。
sandbox ポリシー別の挙動
| ポリシー | 想定結果 |
|---|---|
| sandbox 未指定 | 部分動作 |
sandbox="allow-scripts" | 部分動作 |
sandbox="" (最も厳格) | ブロック |
Embed スニペット
このスニペットは埋め込み専用ページを使用します。自サービスに貼り付けてレンダリング/ブロックの挙動を確認してください。
<iframe src="https://xss-playground.com/embed/notification-permission?lang=ja" title="XSS Playground - 通知権限リクエスト / push hijack" width="600" height="420" loading="lazy" referrerpolicy="strict-origin-when-cross-origin"></iframe>
実行
// ログなし
解説
- 最新の Chrome/Firefox は cross-origin iframe からの通知権限要求をブロックします。テスト時は HTTPS、ユーザー操作、top-level document かどうかを記録します。
- リスクは即時の情報窃取ではなく、通知権限を得た origin が後で phishing 通知を送れる点です。長期 push には service worker / push subscription の流れも必要です。
- 任意ホスト iframe に強力な browser permission を委任しないでください。Permission API はブラウザ差が大きいため、対象ブラウザで確認します。