Forse nn ci siamo capiti...Tempo fa ho visto in un tutorial che spiegava la vulnerabilità xss che usava per far spuntare la parola xss in un alert usava alert(String.fromCharCode(88,82,82)), solo che io lo devo usare nella funzione document.location.replace o in document.location.href.

Mi aiutate per favore??