Fish Wang
says to
YSITD
如果你能用讓你寫的 js 用對方網站的 domain 跑就是 xss 阿,不管你是用網址還是用 iframe 觸發怎樣的