链式攻击(钓鱼 + 全屏 + redirect)
复现假全屏 UI、凭据捕获、top redirect 组合在一起降低用户怀疑的攻击流程。
按 sandbox 策略的行为
| 策略 | 预期结果 |
|---|---|
| 无 sandbox | 通过 |
sandbox="allow-scripts" | 部分 |
sandbox="" (最严) | 阻止 |
Embed 代码
此代码使用专用嵌入页面。粘贴到您的服务后检查渲染或拦截行为。
<iframe src="https://xss-playground.com/embed/chained-attack?lang=zh" title="XSS Playground - 链式攻击(钓鱼 + 全屏 + redirect)" width="600" height="420" loading="lazy" referrerpolicy="strict-origin-when-cross-origin"></iframe>
执行
// 无日志
说明
- iframe 加载后立即用全屏覆盖层冒充服务 UI,用户仍然会感觉自己在可信站点内。
- 用户输入凭据后,数据进入 iframe 自己的 origin;在真实攻击中会被发送到攻击者服务器。
- 捕获后马上 top redirect 回真实页面,用户容易以为只是正常重新登录了一次。
- 每一步都只使用不需要突破 Same-Origin Policy 的浏览器 API。
- 通过 host allowlist 或严格 sandbox 阻止任意主机 iframe,是最有效的单点防护。