hi,

Der Wert der Subdomain ist zufällig gewählt und damit ändern sich die gültigen Adressen mit jeder Anfrage. Kennt ein XSS die Adressen nicht, kann es sie nicht aufrufen.

Du versuchst also, eine Art Übergabe irgendeines geheimen Wertes zu realisieren, indem du dafür eine "Subdomain" missbrauchst?

Kennt ein XSS die Adressen kann es sie aufrufen und damit wäre ein Hijacking des Browsers möglich wie es z.B. beim MySpace.com Wurm stattgefunden hat (http://namb.la/popular/tech.html)

Sorry, ich halte das immer noch für sehr weit hergeholt.

Die erfolgreiche Absicherung gegen XSS hat m.E. wenig damit zu tun, Seitenadressen durch "randomizing" zu verstecken.
Und die Nachteile dürften die Vorteile bei weitem überwiegen. Zum Beispiel das Caching wiederholt aufgerufener Elemente düftest du damit ziemlich zunichte machen.

gruß,
wahsaga