A mohl by ještě někdo vysvětlit tohle? "umožnit útočníkovi skrze uživatele přístup k citlivým datům" - zobrazovanou stránku, i když redresovanou, snad vidí jen uživatel, a i když na něco klikne, tak se to dostane k útočníkovi jak? Nějak nevidím věrohodný scénář (pokud nebude mít napadená stránka v sobě nějakou reflektovanou XSS samu o sobě).