XSS не просто выскакивает, поэкспериментируйте внимательнее!
Содержит-ли страница ЛС еще какие-нибудь фреймы?
Бывает и такое что тэги в скобках допустим фильтруются...
Поэкспериментируйте с кодом.
code:
code:
document.write("")
Или попробуйте вставить iframe с помощью java-скрипта и зашифруйте это дело.
Java скрипт можно зашифровать
тут
В первое поле вставляешь свою джаву ставишь галочки : Base62 encode,Shrink variables и жмешь Pack он упаковывает!
На выходе получаешь содержимое такого плана:
code:
eval(function(p,a,c,k,e,r){e=String;if(!''.replace (/^/,String)){while(c--)r[c]=k[c]||c;k=[function(e){return r[e]}];e=function(){return'\\w+'};c=1};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p}('ссссссссссссссссс0',2,1,'TEST '.split('|'),0,{}))
Вставляешь все это тэгом
...
Да и шифруй ссылку без ошибок.