安全研究人员可以使用CSS附加恶意内容至剪贴板，而不必通知用户，最终诱骗他们执行不需要的终端命令。此类攻击就是众所周知的剪贴板劫持。在大多数情况下，它是无效的，除非用户在终端内复制内容。安全研究人员Dylan Ayrey上周发布了剪贴板劫持的最新版本，该攻击是将Java作为攻击媒介，而非CSS。

这种攻击被称之为粘贴劫持，他的概念验证攻击原理与旧版CSS漏洞利用一致，但略有不同。

Ayrey解释称，不同点在于事件后文本可以被复制，事件后也可以复制在短定时器上，并且易于复制十六进制字符至剪贴板，其可以用于开发VIM。

他还表示，Java让此类攻击难以识别且难以中止。

与CSS相较，Java功能更强大且更全能，这类攻击就体现无遗。CSS要求用户必须复制-粘贴整个恶意文本，而Java更具欺骗性。

用户甚至不必选择整个恶意文本，一个字符就够。理论上讲，攻击者可以添加恶意粘贴劫持Java代码至整个页面，并且当用户在控制台内粘贴任何内容，他们可能就潜伏在你背后偷偷摸摸运行命令。

Ayrey甚至提供了演示视频，展示攻击者运行恶意代码、清除控制台并附加用户复制的代码的过程，让普通网民认为并无异常。

如果与技术支持页面或钓鱼邮件有关联，此攻击也许会带来非常严重的后果。用户可能认为他们正复制正常的文本至控制台，然而事实上，他们正中了恶意攻击者的圈套。

因为终端命令会自动执行，用户甚至不必按下Enter键便可执行恶意代码，CTRL+V足矣。