Lo más importante en seguridad web es validarlo todo y dejar siempre la seguridad en el lado del servidor y nunca del cliente.
Técnicas que permiten obtener información que otra web ha dejado en minavegador, por ejemplo: cookies.
Esto se consigue inyectando código en la aplicación web del otro dominio: html, css, javascript.
Insertando código javascript
<script language='javascript'>location.href='http://www.us.es';</script>
Insertando css
<div style="position:absolute;top:0px;left:0px;z-order=5000;background-color:red;color:white;width:100%;height:100%;">XSS</div>