自动播放媒体 / 自动全屏
尝试自动播放带声音的媒体,或通过 requestFullscreen 占用全屏。
按 sandbox 策略的行为
| 策略 | 预期结果 |
|---|---|
| 无 sandbox | 部分 |
sandbox="allow-scripts" | 部分 |
sandbox="" (最严) | 阻止 |
Embed 代码
此代码使用专用嵌入页面。粘贴到您的服务后检查渲染或拦截行为。
<iframe src="https://xss-playground.com/embed/autoplay-media?lang=zh" title="XSS Playground - 自动播放媒体 / 自动全屏" width="600" height="420" loading="lazy" referrerpolicy="strict-origin-when-cross-origin"></iframe>
执行
// 无日志
说明
- 现代浏览器通常只允许静音自动播放。有声自动播放需要点击或触摸等用户手势。
- 全屏同样需要用户手势。在 iframe 中还可能需要
allow="fullscreen"以及匹配的 sandbox 策略。 - 单独看风险不高,但与假登录表单结合时,可能形成很有欺骗性的流程。