hi,

Auf clientseite findet damit ein Mapping von einer URL auf die gleiche URL mit einer vorgehängten Subdomain statt.

Zu welchem Zweck?

Der Wert der Subdomain ist zufällig gewählt und damit ändern sich die gültigen Adressen mit jeder Anfrage. Kennt ein XSS die Adressen nicht, kann es sie nicht aufrufen.

Da ein XSS diesen Subdomain-Wert möglichst nicht erfahren soll

Wo läge der Schaden?

Kennt ein XSS die Adressen kann es sie aufrufen und damit wäre ein Hijacking des Browsers möglich wie es z.B. beim MySpace.com Wurm stattgefunden hat (http://namb.la/popular/tech.html)

Gruß,
Entenhausenconnection