うわ、昔の/.のコメントがさらされてるよw
http://slashdot.jp/comments.pl?sid=24964&cid=96979
ちゃんと試してないけど、古いブラウザでは、こういった攻撃が可能だったんだが、最近のブラウザは簡単にはできなくなってた気がする。XMLHTTPRequestだとできるのかもしれないけどね。要検証ですよ。
/.では他にも悪さしたんだよねぇ。知らずにXSSのバグふんじゃったりorz
たまたま、動かなかったから問題なかったモノの、動いてたら危険だったしorz