Iframe Origin Sign 用于测试在 Dapp 嵌套的 Iframe 中发起签名请求,如果钱包未正确处理 Origin 来源,可能导致钓鱼攻击。
点击页面上的“Enable Ethereum”按钮连接钱包,然后点击“selfdestruct send ETH”以记录当前钱包展示的 Origin。
在嵌套的 Iframe 页面中找到“Connect Actions”卡片,点击卡片中的“CONNECT”按钮连接钱包。
接着在 Iframe 中进行其他签名操作,例如在“Permissions Actions”卡片中点击“REQUEST PERMISSIONS”按钮,观察 Origin 来源是否正确显示为“https://metamask.github.io”。如果不正确,则存在漏洞。
建议钱包正确显示由 Iframe 发起签名的 Origin 来源。