부모 토큰 / 네트워크 탈취 시도
부모 페이지의 JWT, storage, 진행 중 네트워크 요청을 iframe 에서 빼낼 수 있는지 경계를 확인한다.
sandbox 정책별 동작
| 정책 | 예상 결과 |
|---|---|
| sandbox 미부착 | 부분 동작 |
sandbox="allow-scripts" | 부분 동작 |
sandbox="" (가장 엄격) | 차단됨 |
임베드 스니펫
이 코드는 임베드 전용 페이지를 사용합니다. 본인 서비스에 그대로 붙여 넣고 렌더링/차단 여부를 확인하세요.
<iframe src="https://xss-playground.com/embed/token-exfil?lang=ko" title="XSS Playground - 부모 토큰 / 네트워크 탈취 시도" width="600" height="420" loading="lazy" referrerpolicy="strict-origin-when-cross-origin"></iframe>
실행
// 로그 없음
해설
- 막힘: parent.localStorage, parent.document.cookie, parent.document 접근, 부모 XHR/fetch 가로채기는 SOP 가 차단해야 합니다.
- 통과: document.referrer, location.ancestorOrigins, parent.postMessage 송신, 자기 origin 안에서 키/클릭/입력 수집은 가능할 수 있습니다.
- 위험 변수: 부모 서비스가 message 리스너에서 토큰을 반환한다면 인가되지 않은 iframe 으로 토큰이 흘러갈 수 있습니다.
event.origin검증이 필수입니다.