숨겨진 form 자동 submit (CSRF-like)
사용자 모르게 외부 도메인으로 form 을 submit.
sandbox 정책별 동작
| 정책 | 예상 결과 |
|---|---|
| sandbox 미부착 | 동작함 |
sandbox="allow-scripts" | 부분 동작 |
sandbox="" (가장 엄격) | 차단됨 |
임베드 스니펫
이 코드는 임베드 전용 페이지를 사용합니다. 본인 서비스에 그대로 붙여 넣고 렌더링/차단 여부를 확인하세요.
<iframe src="https://xss-playground.com/embed/form-auto-submit?lang=ko" title="XSS Playground - 숨겨진 form 자동 submit (CSRF-like)" width="600" height="420" loading="lazy" referrerpolicy="strict-origin-when-cross-origin"></iframe>
실행
// 로그 없음
해설
- form submit 은 cross-origin 으로 자유롭게 보낼 수 있습니다. 문제는 타깃 사이트가 SameSite=Lax/Strict 쿠키를 쓰는지에 따라 CSRF 가능 여부가 결정됩니다.
sandbox에allow-forms가 없으면 submit 자체가 차단됩니다. 신뢰 호스트만 allowlist 로 받지 않는다면 이 키워드는 빼는 게 안전합니다.- 참고: 외부 도메인으로 보낸 응답을 iframe 안에서 읽을 수는 없습니다 (SOP). 하지만 "요청이 도달했다" 자체가 공격일 때가 많습니다.