A JavaScript segítségével a modern böngészők írhatnak és írhatnak a felhasználó vágólapjára, vagyis manipulálhatják is. Az alaptechnológia már a régi hat, de csak a közelmúltban keringenek egyre több ("PasteJacking" néven futó) támadás a hálózaton, amelyek kihasználják ezt a lehetőséget a gyanútlan felhasználó számára. A JavaScript megvalósítása banális.
Csak a következő szkript van integrálva a rosszindulatú oldalon:
27670b8ba9840e688369822a3fcfb2d9
Ha bármilyen szöveget másol egy ilyen oldalról, a nem kívánt karakterlánc mindig a vágólapra kerül (függetlenül a megvalósítás másolt szövegétől). A "gonosz parancs" helyett most sok csúnya dolgot találhat ki. Az egész halálossá válik, ha a sor végén lévő sortörést használják a kód azonnali végrehajtására:
27670b8ba9840e688369822a3fcfb2d9
Könnyű alaphelyzetbe állítani a konzol kimenetét is, hogy a felhasználó ne vegye észre azonnal, amit beírt. Például elképzelhető, hogy egy ártalmatlan kódrészlet másolásakor a partíciókat haladva lőhetik.
27670b8ba9840e688369822a3fcfb2d9
A vágólap JavaScript nélkül is kezelhető (más formában):
27670b8ba9840e688369822a3fcfb2d9
Ha kiválasztja a kívánt szöveget, akkor például a legújabb Firefoxban (45.0 v.) Például nem ez, hanem a mögötte lévő szöveg kerül a vágólapra.
Mindkét módszer élőben kipróbálható itt. Itt a JS variáns:
See the Pen Pastejacking #1 by David Vielhuber (@vielhuber) on CodePen.
Valamint a CSS variáns:
See the Pen Pastejacking #2 by David Vielhuber (@vielhuber) on CodePen.