지연 / 자동 실행 페이로드
URL 파라미터나 카운트다운으로 일정 시간 뒤 top-redirect, postMessage, form submit 등을 자동 실행한다.
sandbox 정책별 동작
| 정책 | 예상 결과 |
|---|---|
| sandbox 미부착 | 동작함 |
sandbox="allow-scripts" | 부분 동작 |
sandbox="" (가장 엄격) | 차단됨 |
임베드 스니펫
이 코드는 임베드 전용 페이지를 사용합니다. 본인 서비스에 그대로 붙여 넣고 렌더링/차단 여부를 확인하세요.
<iframe src="https://xss-playground.com/embed/delayed-attack?lang=ko" title="XSS Playground - 지연 / 자동 실행 페이로드" width="600" height="420" loading="lazy" referrerpolicy="strict-origin-when-cross-origin"></iframe>
실행
액션
지연(초)
// 로그 없음
임베드 페이지 자동 발사
실제 임베드 시에는 사용자 상호작용 없이 자동 실행되도록 URL 파라미터를 넣어두면 됩니다. 예시:
<iframe src="https://xss-playground.com/embed/delayed-attack?auto=top-redirect&delay=5" width="600" height="420"></iframe>
해설
- 저장형 XSS 나 임베드 공격은 페이지 로드 직후가 아니라 사용자가 신뢰를 형성한 뒤 실행될 때 더 위험합니다.
- 지연 실행은 보안 리뷰에서 놓치기 쉽습니다. 저장 후 즉시 확인만 하지 말고 몇 초 뒤, 상호작용 뒤, 재방문 뒤 실행도 확인해야 합니다.
- 방어는 렌더링 단계에서 payload 를 제거하거나, CSP / sandbox / message 검증으로 실행 표면을 막는 방식으로 확인합니다.