Még egyszer: aki be tud injektálni ilyen Google OAuth végpontra mutató URL-t a weboldaladba, az közvetlenül be tud injektálni bármilyen más kódot is az oldalba, semmi újdonság nincs itt.
Aki ellátogat egy weboldalra, ahol ez a Google OAuth link van, megkaphatja a WebSocketes scriptet a Google OAuth link nélkül is, egyből a weboldalba ágyazva és obfuszkálva. Álprobléma ez az egész OAuth callback paraméterben problémát látás.