Fullscreen overlay impersonation
Cover the parent page with a fake but pixel-perfect UI rendered inside the iframe.
按 sandbox 策略的行为
| 策略 | 预期结果 |
|---|---|
| 无 sandbox | 通过 |
sandbox="allow-scripts" | 通过 |
sandbox="" (最严) | 部分 |
Embed 代码
此代码使用专用嵌入页面。粘贴到您的服务后检查渲染或拦截行为。
<iframe src="https://xss-playground.com/embed/fullscreen-overlay?lang=zh" title="XSS Playground - Fullscreen overlay impersonation" width="600" height="420" loading="lazy" referrerpolicy="strict-origin-when-cross-origin"></iframe>
실행
실제 공격에서는 iframe 자체를 부모 페이지의 CSS 로 화면 전체를 덮는 position:fixed; top:0; width:100%; height:100% 으로 배치합니다. iframe 자기 origin 안에서는 그 안에 어떤 UI 든 자유롭게 그릴 수 있어서, 실제 서비스와 똑같이 생긴 가짜 페이지로 사용자를 속일 수 있습니다.
// 로그 없음
해설
- iframe 자체 영역을 부모 CSS 가 어떻게 배치할지는 부모 책임입니다. 서비스가 임의 iframe 을 100% 너비/높이로 그리고 있다면 그 자체로 시각적 위장이 가능합니다.
- 진짜 풀스크린 API 는 사용자 제스처 필요. 하지만 z-index:99999 의 일반 DOM 오버레이는 사용자 제스처 없이도 즉시 가능합니다.