x'
<iframe src="http://XD.com/osvoyarobarlascookies.html">
Pues no, ni injection ni XSS XD, habrá que probar en otro sitio :D