Часть 1

От теории к делу!

//Код №1 /*Автор кода просит прощения за все баги, связанные  с ним. Код написан под node.js */ var http = require('http');
http.createServer(function (rq, rs) { var cookie="Super :"+Math.random(-1)*30/13+": Mario"; //при каждом новом запросе, значение куки будет разным  rs.writeHead(200, {'Content-Type': 'text/html',
                     'Set-Cookie': cookie});
  if(!require('url').parse(rq.url).query){ // проверим на наличие входных данных  rs.end('<h2>ERROR!</h2><br>Example: http://127.0.0.1:8080/wo.bug?host=http://google.com/<br>Shutting down :)');
console.log('[DEBUG] URL: '+rq.url+' is not valid!'); // немножко дебага  console.log('Achtung!');
  process.kill(process.pid); //чтобы наверняка :)  }
  var host=require('url').parse(rq.url, true).query.host, //парсим  host=host.replace(/ /g,'%20'),//Решим проблему с обрезанием пробела  host=host.replace(/</g,'&'+'lt;'), //antiXSS  host=host.replace(/>/g,'&'+'gt;'), //antiXSS  host=host.replace(/javascript:/g,''); //antiXSS  console.log('URL: '+host); //Вывод ссылки в консоль  rs.end('<center><br><a href='+host+' target="_blank">click-click</a><br>Hey, '+cookie+'! </center>'); //"безопасный" вывод}).listen(8080);  //запустим сервер на 8080 порту  

FireFox

Итак, передадим в атрибут href, тега a, значение «data:,1»:

После нажатия на гиперссылку видим, что w.o инициализирован: