부모 토큰 / 네트워크 탈취 시도EMBEDDED

JWT, 진행 중 네트워크, storage 등 부모 데이터를 빼낼 수 있는지 여러 각도로 시도.

sandbox 정책별 동작

정책	예상 결과
sandbox 미부착	부분 동작
`sandbox="allow-scripts"`	부분 동작
`sandbox="" (가장 엄격)`	차단됨

임베드 스니펫

이 코드는 임베드 전용 페이지를 사용합니다. 본인 서비스에 그대로 붙여 넣고 렌더링/차단 여부를 확인하세요.

<iframe src="https://xss-playground.com/embed/token-exfil?lang=ko" title="XSS Playground - 부모 토큰 / 네트워크 탈취 시도" width="600" height="420" loading="lazy" referrerpolicy="strict-origin-when-cross-origin"></iframe>

실행

// 로그 없음

해설

막힘: parent.localStorage, parent.document.cookie, parent.document 접근, 부모 XHR/fetch 가로채기 — 모두 SOP 가 차단.
통과: document.referrer (부모 URL 노출), location.ancestorOrigins (부모 origin 노출), parent.postMessage 송신, 자기 origin 안에서 키/클릭/입력 수집.
위험 변수: 부모 서비스가 message 리스너에서 토큰을 돌려주는 핸들러를 두고 있다면, 인가되지 않은 호스트의 iframe 에도 토큰이 흘러갈 수 있음. event.origin 검증 필수.