Кароче, следуя логике. XSS уязвимость форума направлена на то, чтобы внедрить в просматриваемую PHP(к примеру) страничку теги таким образом, чтобы браузер смог их правильно интерпретировать. Значит, если возможно внедрение вида: <script>.....</script>, в чем же проблема реализации <iframe>.....</iframe> ....