> > document.createElement('script')で
> > 外部js読み込めばまあ何でもできるよ(;´Д`)
> XSSダメ絶対(;´Д`)

ﾃｽﾄ(;´Д`)

javascript:(function(){s=document.createElement('iframe');s.src='../c/upload.cgi';s.onload=function(){alert(s.contentWindow.document.cookie)};document.body.appendChild(s);})();

参考：2017/02/11(土)10時54分28秒