親トークン / ネットワーク窃取の試行
iframe 内から親ページの JWT、storage、進行中のネットワーク要求に届くか境界を確認します。
sandbox ポリシー別の挙動
| ポリシー | 想定結果 |
|---|---|
| sandbox 未指定 | 部分動作 |
sandbox="allow-scripts" | 部分動作 |
sandbox="" (最も厳格) | ブロック |
Embed スニペット
このスニペットは埋め込み専用ページを使用します。自サービスに貼り付けてレンダリング/ブロックの挙動を確認してください。
<iframe src="https://xss-playground.com/embed/token-exfil?lang=ja" title="XSS Playground - 親トークン / ネットワーク窃取の試行" width="600" height="420" loading="lazy" referrerpolicy="strict-origin-when-cross-origin"></iframe>
実行
// ログなし
解説
- ブロック: parent.localStorage、parent.document.cookie、parent.document access、親 XHR/fetch の横取りは SOP で止まるべきです。
- 通過: document.referrer、location.ancestorOrigins、parent.postMessage 送信、iframe 自身の origin 内の入力収集は可能な場合があります。
- 危険な変数: 親サービスが message listener から token を返す場合、未認可 iframe に token が流れます。
event.origin検証が必須です。