Ciao raga ho visto che in url del genere il parametro d nn viene filtrato permettendo esecuzione di codice javascript http://mail.tiscali.it/cp/sso/Login.jsp?d=%3Cscript%3Ealert(ciao)%3C/script%3E


screenshot (http://caarotvideo.altervista.org/cartella/index_mail.html)


segnalo l'errore al servizio assistenza?