Ha az oldal forraskodja alatt azt a PHP/Node.js/Java/C# kodot erted, ami a HTML-t legeneralja neked, akkor azt - ehhez - nem kell.
A HTML-t ugy is tudod "modositani", hogy az elozo PHP/stb. inputjat modositod. Pl. egy forum eseten bekuldesz egy hozzaszolast, az bekerul egy adatbazisba, es amikor a HTML legeneralodik (meglatogatja az aldozat az adott oldalt), akkor az igy "megfertozott" DB-bol kapja az adatot.
Ha nem ennyire permanens megoldasra gondolsz, akkor akar egy GET kerest parameterezel fel megfeleloen, es iranyitod oda a - ha mazlid van, bejelentkezett - tamadot. Pl. http://facebook/jelszoemlekezteto.php?tamadhato_mezo=<script>alert();</…;
Igy cookie-t mar el tudsz lopni, ha a tamadhatoo_mezo-t nem keszitettek fel erre. (a linkroviditok meg segitenek elrejteni a felettebb gyanus linket, amit aztan elkuldhetsz az aldozatnak)
--
If you get a good wife, you'll become happy; if you get a bad one, you'll become a philosopher. -Socrates