まずXSSするようなリファラを入れてWebサイトに接続、その後リファラを表示するとクロスサイトスクリプティングするというお話。

現在出回っている攻撃は，Webブラウザの「リファラ（REFERER）」フィールド（関連記事：オンライン詐欺との戦いに活用できる「リファラ」フィールド）を最初の攻撃対象として選ぶようだ。というのも，ぜい弱なWebサイトは検索キーワードの入ったリファラ・フィールドを構文解析し，その内容をURLに変換するためだ（Webアプリケーションは検索エンジン最適化（SEO）対策の一部としてこの処理を行うが，ここにぜい弱性が存在する）。