全屏覆盖层伪装
把 iframe 放到屏幕区域上,并绘制类似父站点的 UI 来欺骗用户。
按 sandbox 策略的行为
| 策略 | 预期结果 |
|---|---|
| 无 sandbox | 通过 |
sandbox="allow-scripts" | 通过 |
sandbox="" (最严) | 部分 |
Embed 代码
此代码使用专用嵌入页面。粘贴到您的服务后检查渲染或拦截行为。
<iframe src="https://xss-playground.com/embed/fullscreen-overlay?lang=zh" title="XSS Playground - 全屏覆盖层伪装" width="600" height="420" loading="lazy" referrerpolicy="strict-origin-when-cross-origin"></iframe>
执行
真实攻击会由父页面 CSS 把 iframe 本身铺满屏幕。iframe 在自己的 origin 内可以自由绘制任何 UI,因此能做出像真实服务一样的假页面。
// 无日志
说明
- iframe 的布局由父页面负责。如果服务允许任意 iframe 占据可信的大区域,就可能发生视觉伪装。
- 真实 Fullscreen API 需要用户手势,但普通 DOM 覆盖层可以在没有手势的情况下绘制。