data: URL wrapper
检查 iframe、object、embed、link preview 等 URL 属性是否允许 data:text/html 并创建可执行 HTML 文档。
HTML payload 测试
该场景测试用户输入在 HTML/DOM 中的渲染方式,而非 iframe sandbox 行为。
- 默认阻止 src/data/href 等 URL 属性中的 data: scheme
- 如必须允许 data:,应限制 MIME type,例如仅图片
- 检查 wrapper 标签是否能在无 sandbox 下创建 HTML 文档
Payload
要复制的 payload
检查 data: 子文档是否能执行脚本并向父页面发消息。
预览
此预览为了学习目的故意执行 unsafe rendering。真实服务中,该 payload 应被转义为文本或移除。
日志
// 无日志
说明
data:text/html看起来像 URL,但浏览器可将其当作新的 HTML 文档。- sanitizer 允许标签但 URL 策略过宽时,iframe/object/embed 组合会变得危险。
- embed 功能除了 tag allowlist,还需要 URL protocol、host allowlist、sandbox 和 referrer policy。