Dengan bantuan JavaScript, browser modern dapat membaca dan menulis ke clipboard pengguna, yaitu mereka juga dapat memanipulasinya. Teknologi yang mendasarinya sudah lama, tetapi baru belakangan ini semakin banyak serangan (dengan nama "PasteJacking") telah beredar di Internet, yang memanfaatkan kemungkinan ini untuk pengguna yang tidak berpengalaman. Penerapan dalam JavaScript itu dangkal.
Hanya skrip berikut yang terintegrasi di sisi berbahaya:
27670b8ba9840e688369822a3fcfb2d9
Jika Anda menyalin teks apa pun dari halaman seperti itu, string yang tidak diinginkan selalu berakhir di papan klip (dalam implementasi ini, terlepas dari teks yang disalin). Alih-alih "perintah jahat", Anda sekarang dapat menemukan banyak hal buruk. Semuanya menjadi fatal jika jeda baris di akhir baris digunakan untuk segera mengeksekusi kode:
27670b8ba9840e688369822a3fcfb2d9
Juga mudah untuk mengatur ulang keluaran konsol sehingga pengguna tidak segera memperhatikan apa yang dia masukkan. Misalnya, dapat dibayangkan bahwa saat menyalin cuplikan kode yang tidak berbahaya, Anda dapat menembak partisi Anda secara sepintas.
27670b8ba9840e688369822a3fcfb2d9
Papan klip dapat dimanipulasi (dalam bentuk yang berbeda) bahkan tanpa JavaScript:
27670b8ba9840e688369822a3fcfb2d9
Jika Anda memilih teks yang diinginkan, misalnya di Firefox terbaru (v. 45.0) bukan ini tetapi teks di belakangnya yang berakhir di clipboard.
Kedua metode tersebut dapat dicoba langsung di sini. Di sini varian JS:
See the Pen Pastejacking #1 by David Vielhuber (@vielhuber) on CodePen.
Serta varian CSS:
See the Pen Pastejacking #2 by David Vielhuber (@vielhuber) on CodePen.