Fullscreen overlay impersonation
Cover the parent page with a fake but pixel-perfect UI rendered inside the iframe.
Behavior by sandbox policy
| Policy | Expected result |
|---|---|
| No sandbox | works |
sandbox="allow-scripts" | works |
sandbox="" (strictest) | partial |
Embed snippet
This snippet uses the dedicated embed page. Paste it into your own service and check rendering or blocking behavior.
<iframe src="https://xss-playground.com/embed/fullscreen-overlay?lang=en" title="XSS Playground - Fullscreen overlay impersonation" width="600" height="420" loading="lazy" referrerpolicy="strict-origin-when-cross-origin"></iframe>
실행
실제 공격에서는 iframe 자체를 부모 페이지의 CSS 로 화면 전체를 덮는 position:fixed; top:0; width:100%; height:100% 으로 배치합니다. iframe 자기 origin 안에서는 그 안에 어떤 UI 든 자유롭게 그릴 수 있어서, 실제 서비스와 똑같이 생긴 가짜 페이지로 사용자를 속일 수 있습니다.
// 로그 없음
해설
- iframe 자체 영역을 부모 CSS 가 어떻게 배치할지는 부모 책임입니다. 서비스가 임의 iframe 을 100% 너비/높이로 그리고 있다면 그 자체로 시각적 위장이 가능합니다.
- 진짜 풀스크린 API 는 사용자 제스처 필요. 하지만 z-index:99999 의 일반 DOM 오버레이는 사용자 제스처 없이도 즉시 가능합니다.