Clipboard hijackEMBEDDED

Intercept the copy event and overwrite clipboard contents.

按 sandbox 策略的行为

策略	预期结果
无 sandbox	通过
`sandbox="allow-scripts"`	通过
`sandbox="" (最严)`	阻止

Embed 代码

此代码使用专用嵌入页面。粘贴到您的服务后检查渲染或拦截行为。

<iframe src="https://xss-playground.com/embed/clipboard-hijack?lang=zh" title="XSS Playground - Clipboard hijack" width="600" height="420" loading="lazy" referrerpolicy="strict-origin-when-cross-origin"></iframe>

실행

여기서 이 줄을 직접 선택해서 복사(Cmd/Ctrl+C) 해 보세요. 클립보드에 다른 내용이 들어갑니다.

// 로그 없음

해설

copy 이벤트는 자기 origin 페이지 안에서 자유롭게 가로챌 수 있습니다. 사용자가 서비스 콘텐츠 안의 일부 텍스트를 복사한 줄 알았는데 실제 클립보드에는 다른 내용이 들어갈 수 있습니다.
공격 가치 예시: 송금 주소를 비슷한 형태의 다른 주소로 갈아 끼우기, 쉘 명령어를 위험한 명령어로 바꾸기.
navigator.clipboard.writeText 는 사용자 제스처 + 포커스 + permissions 가 필요해서 자동 호출은 보통 차단됩니다.
sandbox 빈 값(sandbox="") 이면 JS 가 막혀서 이 공격도 차단됩니다.