풀스크린 오버레이 위장
iframe 을 화면 전체에 배치하고 부모 사이트와 비슷한 UI 를 그려 사용자를 속이는 시나리오.
sandbox 정책별 동작
| 정책 | 예상 결과 |
|---|---|
| sandbox 미부착 | 동작함 |
sandbox="allow-scripts" | 동작함 |
sandbox="" (가장 엄격) | 부분 동작 |
임베드 스니펫
이 코드는 임베드 전용 페이지를 사용합니다. 본인 서비스에 그대로 붙여 넣고 렌더링/차단 여부를 확인하세요.
<iframe src="https://xss-playground.com/embed/fullscreen-overlay?lang=ko" title="XSS Playground - 풀스크린 오버레이 위장" width="600" height="420" loading="lazy" referrerpolicy="strict-origin-when-cross-origin"></iframe>
실행
실제 공격에서는 iframe 자체를 부모 페이지 CSS 로 화면 전체를 덮게 배치합니다. iframe 자기 origin 안에서는 어떤 UI 든 자유롭게 그릴 수 있어서 실제 서비스처럼 보이는 가짜 화면으로 사용자를 속일 수 있습니다.
// 로그 없음
해설
- iframe 영역을 부모 CSS 가 어떻게 배치할지는 부모 페이지 책임입니다. 서비스가 임의 iframe 을 넓은 영역에 배치한다면 시각적 위장이 가능합니다.
- 진짜 Fullscreen API 는 사용자 제스처가 필요하지만, 일반 DOM 오버레이는 사용자 제스처 없이도 그려질 수 있습니다.