父页面 token / 网络窃取尝试
从 iframe 内探测父页面 JWT、storage 和正在进行的网络请求边界。
按 sandbox 策略的行为
| 策略 | 预期结果 |
|---|---|
| 无 sandbox | 部分 |
sandbox="allow-scripts" | 部分 |
sandbox="" (最严) | 阻止 |
Embed 代码
此代码使用专用嵌入页面。粘贴到您的服务后检查渲染或拦截行为。
<iframe src="https://xss-playground.com/embed/token-exfil?lang=zh" title="XSS Playground - 父页面 token / 网络窃取尝试" width="600" height="420" loading="lazy" referrerpolicy="strict-origin-when-cross-origin"></iframe>
执行
// 无日志
说明
- 应被阻止: parent.localStorage、parent.document.cookie、parent.document 访问,以及拦截父页面 XHR/fetch,都应由 SOP 阻止。
- 可能通过: document.referrer、location.ancestorOrigins、发送 parent.postMessage,以及在 iframe 自己 origin 内收集输入可能仍然可行。
- 风险变量: 如果父服务的 message listener 会返回 token,未授权 iframe 也可能收到。必须校验
event.origin。