поэтому и спрашиваю, как код оформить?? Дело в том, что форум съедает любые варианты, т.е. что бы не писалось в поле ссылки на аватар - все будет отображаться как картинка, например:
пишем в поле bla-bla-bla
получится <img src="bla-bla-bla" alt="" border="0" />
пишем javascript:alert(document.cookie)
и при загрузки страницы нам открывается alert окно в котором наши куки, а в html-тегах видим <img src="javascript:alert(document.cookie)" alt="" border="0" />
Словом, все, что бы Мы не писали в графе аватара, форум будет съедать как картинку <img src="наш текст">
Вот Я и спрашиваю, как мне вместо отображения document.cookie у юзера отдать запрос сниферу, что бы он их словил, а у юзера ни чего не отображалось?? Многое пререпробовал, но результат один и тот же - снифер ловит opener.location (url на котором находится юзер), то бишь адрес, откуда был вызван снифер, а не document.cookie - его куки...
Потенциальная дырка есть, но ее нужно оформить!! Есть идеи?!