通知权限请求 / push 劫持
调用 Notification.requestPermission,检查权限提示以及后续钓鱼通知风险。
按 sandbox 策略的行为
| 策略 | 预期结果 |
|---|---|
| 无 sandbox | 部分 |
sandbox="allow-scripts" | 部分 |
sandbox="" (最严) | 阻止 |
Embed 代码
此代码使用专用嵌入页面。粘贴到您的服务后检查渲染或拦截行为。
<iframe src="https://xss-playground.com/embed/notification-permission?lang=zh" title="XSS Playground - 通知权限请求 / push 劫持" width="600" height="420" loading="lazy" referrerpolicy="strict-origin-when-cross-origin"></iframe>
执行
// 无日志
说明
- 现代 Chrome/Firefox 会阻止 cross-origin iframe 请求通知权限。测试时应同时记录 HTTPS、用户手势以及是否在 top-level document 中触发。
- 风险不是立即窃取信息,而是获得通知权限的 origin 之后可以发送钓鱼通知。长期 push 还需要 service worker / push subscription 流程。
- 不要把强大的浏览器权限委托给任意主机 iframe。Permission API 的浏览器差异较大,应在目标浏览器中验证。