Ik krijg geen XSS meldingen van NoScript. Het zou kunnen dat er eerder kwaadaardige code was geïnjecteerd op de nieuws- site (die daar verder niks mee te maken heeft) maar dat die intussen is verwijderd. Dit zou mogelijk de verschillende scanresulaten kunnen verklaren. Dit is echter een klassiek scenario voor een Cross Site Scripting/Cross Site Request Forgery aanval. Het is natuurlijk heel slim om via een mailaccount (of andere webapplicatie) die mogelijk kwetsbaar is voor XSS/CSRF het slachtoffer door te sturen naar de site waarop de exploit-code draait. Als het slachtoffer ook nog eens geen maatregelen heeft getroffen om java script te blokkeren heeft de aanvaller in een klap de voorwaarden gecreëerd voor een XSS/CSRF aanval. Als NoScript op scherp stond dan is er waarschijnlijk niets aan de hand (de meeste XSS/CSRF aanvallen hebben java script nodig om te werken). Ik denk dat het echter geen kwaad kan om het wachtwoord van je (web)mailaccount waar je op ingelogd was op het moment dat je op de link ...