延迟 / 自动触发 payload
通过计时器或 URL 参数,在一段时间后自动触发 top-redirect、postMessage、form submit 等动作。
按 sandbox 策略的行为
| 策略 | 预期结果 |
|---|---|
| 无 sandbox | 通过 |
sandbox="allow-scripts" | 部分 |
sandbox="" (最严) | 阻止 |
Embed 代码
此代码使用专用嵌入页面。粘贴到您的服务后检查渲染或拦截行为。
<iframe src="https://xss-playground.com/embed/delayed-attack?lang=zh" title="XSS Playground - 延迟 / 自动触发 payload" width="600" height="420" loading="lazy" referrerpolicy="strict-origin-when-cross-origin"></iframe>
执行
动作
延迟(秒)
// 无日志
嵌入页面自动触发
实际嵌入测试时,可以添加 URL 参数让动作在没有用户交互的情况下运行。示例:
<iframe src="https://xss-playground.com/embed/delayed-attack?auto=top-redirect&delay=5" width="600" height="420"></iframe>
说明
- Stored XSS 和嵌入式攻击如果不是页面加载后立即执行,而是在用户建立信任后执行,风险会更高。
- 延迟执行很容易在审查中漏掉。不要只检查首次渲染,还要检查几秒后、交互后和再次访问时的行为。
- 防护可以通过渲染阶段移除 payload,或用 CSP / sandbox / message 校验关闭执行表面来验证。