자동 다운로드 트리거
사용자 클릭 없이 파일 다운로드를 강제로 시작한다.
sandbox 정책별 동작
| 정책 | 예상 결과 |
|---|---|
| sandbox 미부착 | 동작함 |
sandbox="allow-scripts" | 차단됨 |
sandbox="" (가장 엄격) | 차단됨 |
임베드 스니펫
이 코드는 임베드 전용 페이지를 사용합니다. 본인 서비스에 그대로 붙여 넣고 렌더링/차단 여부를 확인하세요.
<iframe src="https://xss-playground.com/embed/auto-download?lang=ko" title="XSS Playground - 자동 다운로드 트리거" width="600" height="420" loading="lazy" referrerpolicy="strict-origin-when-cross-origin"></iframe>
실행
// 로그 없음
해설
- 최신 브라우저는 사용자 제스처 없이 너무 잦은 다운로드를 차단하기는 합니다만, 첫 다운로드는 보통 허용됩니다. 사용자가 신뢰하는 서비스 화면에서 영문 모를 파일이 받아지면 그 자체가 피싱의 trigger 가 됩니다.
sandbox="allow-scripts"가 부착되면 a.click() 은 되지만a.download속성에 의한 다운로드는 차단되는 경향이 있습니다.allow-downloads키워드가 필요합니다.