Delayed / auto-fire payload
Countdown via URL params, then auto-fire an action. Used to evade immediate user suspicion.
按 sandbox 策略的行为
| 策略 | 预期结果 |
|---|---|
| 无 sandbox | 通过 |
sandbox="allow-scripts" | 部分 |
sandbox="" (最严) | 阻止 |
Embed 代码
此代码使用专用嵌入页面。粘贴到您的服务后检查渲染或拦截行为。
<iframe src="https://xss-playground.com/embed/delayed-attack?lang=zh" title="XSS Playground - Delayed / auto-fire payload" width="600" height="420" loading="lazy" referrerpolicy="strict-origin-when-cross-origin"></iframe>
실행
액션
지연(초)
// 로그 없음
임베드 페이지 자동 발사
실제 임베드 시에는 사용자 상호작용 없이 자동 실행되도록 URL 파라미터를 넣어두면 됩니다. 예시:
<iframe src="https://xss-playground.com/embed/delayed-attack?auto=top-redirect&delay=5" width="600" height="420"></iframe>
해설
- 사용자가 신뢰하는 서비스 화면을 보고 있는 동안 잠깐 무관한 콘텐츠처럼 보이게 한 뒤 N초 뒤 발사하는 시나리오 재현. 즉시 발사는 사용자 의심을 유발하지만 5~10초 지연은 자연스럽게 보임.
- 모든 액션이 sandbox 정책의 해당 키워드(allow-top-navigation, forms, popups 등) 가 없으면 차단됨.