Насчет XSS не могу понять, работает или нет... Я отправляю письмо на ящик жертвы в виде html, к нему приставляю fotka.jpg, которая на самом деле есть fotka.html. Как известно, в таком случае, картинка подгружается непосредственно в браузер... но там ведь не картинка на самом деле.. Именно так я планирую создание фильтра... Что скажет уважаемая публика??

Конечно вероятно, что я ошибаюсь. Мне нужен человек которому это можно показать. Опыта у меня мало...
Есть на этом сайте люди которые сами находили xss и самое главное понимают технику нахождения??