Same-Origin Policy 探测(预期失败)
尝试访问父页面 DOM、storage 与 cookie,确认 SOP 具体阻止什么、仍允许什么。
按 sandbox 策略的行为
| 策略 | 预期结果 |
|---|---|
| 无 sandbox | 阻止 |
sandbox="allow-scripts" | 阻止 |
sandbox="" (最严) | 阻止 |
此场景由 Same-Origin Policy 直接阻止,与 sandbox 无关。
Embed 代码
此代码使用专用嵌入页面。粘贴到您的服务后检查渲染或拦截行为。
<iframe src="https://xss-playground.com/embed/sop-probe?lang=zh" title="XSS Playground - Same-Origin Policy 探测(预期失败)" width="600" height="420" loading="lazy" referrerpolicy="strict-origin-when-cross-origin"></iframe>
此页面用于确认应该失败的操作。所有直接访问父页面的尝试都应该被阻止。如果以同源方式嵌入,部分探测可能成功。
执行
// 无日志
说明
- cross-origin iframe 不能直接读取父页面 DOM、storage 或 cookie。这是 SOP 真正保护的区域。
- 相反,
parent.location写入、parent.postMessage、form submit 和发送 fetch 请求本身仍可能在 cross-origin 下被允许。 - cross-origin iframe 的风险表面通常更接近用户欺骗、message handler 误用和自动请求,而不是直接窃取父页面数据。