Signature Redirection Test 用于测试在 Dapp 经历重定向后在新的域名中发起签名请求。如果钱包未正确处理 Origin 来源,可能导致钓鱼攻击。
点击页面上的“Enable Ethereum”按钮连接钱包,然后点击“selfdestruct send ETH”记录当前钱包展示的 Origin。
点击页面上的“redirect”按钮进行重定向测试,在新页面的卡片中点击“CONNECT”按钮连接钱包。
接着在新页面中进行其他签名操作,例如在“Permissions Actions”卡片中点击“REQUEST PERMISSIONS”按钮。观察 Origin 来源是否正确显示为“https://metamask.github.io”。如果不正确,则存在漏洞。
建议钱包正确显示重定向后新页面发起签名的 Origin 来源。