http://antichat.ru/txt/old/chat_faq.shtml
http://antichat.ru/crackchat/java.html

это так к слову...


собственно вот в чём суть, если мы впишем в графе фото http://url_фотки/nax.jpg, то в окне "о себе" в html коде мы получим:

там в чате фильтровались некоторые символы, я точно не помню какие влом смотреть...

собственно если вписать в графе фото http://url_фотки/nax.jpg"><script>alert("nax")</script>, то на выходе получим:

я думаю тут нечего объяснять... это сработает только если символы не фильтруются!!!

дальше работает знание и воображение

http://ha.ckers.org/xss.html - тут можешь посмотреть множество реализация javascript'ов, поможет в дальнейшем освоении xss

а чтобы понимать xss нужно знание html и javascript