알림 권한 요청 / 푸시 hijack
Notification.requestPermission 을 호출해 권한 프롬프트와 이후 피싱 알림 가능성을 확인한다.
sandbox 정책별 동작
| 정책 | 예상 결과 |
|---|---|
| sandbox 미부착 | 부분 동작 |
sandbox="allow-scripts" | 부분 동작 |
sandbox="" (가장 엄격) | 차단됨 |
임베드 스니펫
이 코드는 임베드 전용 페이지를 사용합니다. 본인 서비스에 그대로 붙여 넣고 렌더링/차단 여부를 확인하세요.
<iframe src="https://xss-playground.com/embed/notification-permission?lang=ko" title="XSS Playground - 알림 권한 요청 / 푸시 hijack" width="600" height="420" loading="lazy" referrerpolicy="strict-origin-when-cross-origin"></iframe>
실행
// 로그 없음
해설
- 최신 Chrome/Firefox 는 cross-origin iframe 에서 알림 권한을 요청하는 흐름을 막습니다. 테스트할 때는 HTTPS, 사용자 제스처, top-level 문서 여부를 함께 기록하세요.
- 위험성은 즉시 정보 탈취가 아니라 사용자가 알림 권한을 허용한 origin 이 이후 피싱 알림을 보낼 수 있다는 점입니다. 장기 push 는 별도의 service worker / push subscription 흐름까지 필요합니다.
- 임의 호스트 iframe 에 강력한 browser permission 을 위임하는 정책을 두지 마세요. 권한 API 는 브라우저별 차이가 커서 실제 대상 브라우저에서 확인해야 합니다.