Возник вопрос реализации нападения.
1. User-Agent, думаю можно прокси подсунуть, которая будет менять user-agent на нужный. Но это вариант лишен здравого смыла, если подсунуть "свою" прокси, то легче просто трафик перехватывать =) Если конечно там не https

2. Referer, вроде бы все просто, например с сайта
blabla.bla/index.php?<script>alert(1);</script>
перейти на уязвимый сайт, то должен выполниться js
НО, получаем
%3Cscript%3Ealert(1);%3C/script%3E

%3Cscript%3Ealert(1);%3C/script%3E
может это Firefox? (он принудительно урленкодит адресную строку)

%3Cscript%3Ealert(1);%3C/script%3E
может это Firefox? (он принудительно урленкодит адресную строку)
да это он и есть... опера тоже самое.

с реферрером работает в IE6

Видимо более новые браузеры, следуют рекомендациям rfc , где говорится что адресную строку нужно урлэнкодить.

Протестировал также на
Safari3
Опера 9.60
Firefox 2.0.0.20
Firefox 3.5.6

все они урленкодят "<" и ">"

2. Referer, вроде бы все просто, например с сайта

перейти на уязвимый сайт, то должен выполниться js
НО, получаем


Имеешь в виду в index.php реферер прописать?)

Имеешь в виду в index.php реферер прописать?)
В index.php будет редирект, а реферер - это url, откуда пришёл, то есть в нашем случае blabla.bla/index.php?<script>alert(1);</script>.