Med hjälp av JavaScript kan moderna webbläsare läsa och skriva till användarens urklipp, dvs. de kan också manipulera det. Den underliggande tekniken är redan gammal hatt, men det är först nyligen som fler och fler attacker (under namnet "PasteJacking") har cirkulerat på Internet, vilket utnyttjar denna möjlighet för den oerfarna användaren. En implementering i JavaScript är banal.
Endast följande skript är integrerat på den skadliga sidan:
27670b8ba9840e688369822a3fcfb2d9
Om du kopierar text från en sådan sida hamnar den oönskade strängen alltid i Urklipp (i denna implementering oavsett den kopierade texten). Istället för "onda kommandon" kan du nu komma med många fula saker. Hela saken blir dödlig om en radbrytning i slutet av raden används för att omedelbart köra koden:
27670b8ba9840e688369822a3fcfb2d9
Det är också enkelt att återställa konsolutgången så att användaren inte omedelbart märker vad han har angett. Det är till exempel tänkbart att man när man kopierar ett ofarligt kodavsnitt kan skjuta sina partitioner i förbigående.
27670b8ba9840e688369822a3fcfb2d9
Urklipp kan manipuleras (i en annan form) även utan JavaScript:
27670b8ba9840e688369822a3fcfb2d9
Om du väljer önskad text, till exempel i den senaste Firefox (v. 45.0), är det inte denna utan texten bakom den som hamnar i Urklipp.
Båda metoderna kan testas live här. Här JS-varianten:
See the Pen Pastejacking #1 by David Vielhuber (@vielhuber) on CodePen.
Samt CSS-varianten:
See the Pen Pastejacking #2 by David Vielhuber (@vielhuber) on CodePen.