Azt tudnám elképzelni hogy van egy weboldal amelynél valamiért a javascriptek külön helyről (CDN?) kerülnek kiszolgálásra, és a támadó hozzáfér a HTML kódhoz, de a javascript-ekhez illetve a webszerver konfighoz nem. Igy egyetlen támadási felület a HTML kód lesz, és azon belül kellene ügyeskedni. Nem tudom, én ezt ilyen nagyon esetlegesnek érzem.