melky , уязвимость XSSI - это совсем другое
Возьмем пример из блога гугла:
На своем сайте, а пишу такой код:
<script>function _feed(s) {alert("Your private snippet is: " + s['private_snippet']);}</script><script src="http://google-gruyere.appspot.com/611788451095/feed.gtl"></script>
Кидаю ссылку человеку, авторизованному на сайте
http://google-gruyere.appspot.com.
Скрипт
http://google-gruyere.appspot.com/611788451095/feed.gtl это некие приватные данные, доступные только авторизованным пользователям.
И в итоге выходит вот что - человек заходит на мой сайт, и видит в алерте, свои персональные данные. Естественно вместо алерта, хакер пишет эти данные в свою базу.
Это, кстати, наряду с XSRF очень распространенные уязвимости.