Поясняю!
function work(){
document.getElementById('MyForm').setAttribute('action', 'http://site.ru/?pass=yryryyryr&login=lol');
document.getElementById('MyForm').submit();
}
window.onload = function(){work();}
Это js скрипт подгружается допустим в опере в разделе Инструменты/быстрые настройки/настройки для сайта/скрипты/папка пользовательских файлов JavaScript.
$(document).ready(function(){
$('form').submit(function(){
alert($(this).attr('action'));
return false;
});
});
А вот этот скрипт, который расположен непосредственно на странице не срабатывает когда форма отправляется тем криптом.
Плюс всегда есть вероятность внедрения кода также непосредственно в страницу.
header("X-Content-Security-Policy: 'none'");
непомогает!