隐藏 form 自动 submit(类似 CSRF)
在用户不知情的情况下向外部域提交 form,并比较 sandbox allow-forms 与 CSRF 边界。
按 sandbox 策略的行为
| 策略 | 预期结果 |
|---|---|
| 无 sandbox | 通过 |
sandbox="allow-scripts" | 部分 |
sandbox="" (最严) | 阻止 |
Embed 代码
此代码使用专用嵌入页面。粘贴到您的服务后检查渲染或拦截行为。
<iframe src="https://xss-playground.com/embed/form-auto-submit?lang=zh" title="XSS Playground - 隐藏 form 自动 submit(类似 CSRF)" width="600" height="420" loading="lazy" referrerpolicy="strict-origin-when-cross-origin"></iframe>
执行
// 无日志
说明
- form submit 可以自由跨 origin 发送。是否形成 CSRF 取决于目标站 cookie 的 SameSite 策略。
- 如果
sandbox中没有allow-forms,submit 会被直接阻止。没有 host allowlist 时,最好不要授予该关键字。 - iframe 无法读取外部域响应(SOP),但很多时候“请求到达目标”本身就是攻击。