ma ha preso il login o ha inserito dinamicamente quel codice?

Avevo letto dell'attacco via ajax di qualche tempo fa su myspace (o di un servizio simile) che usava il bug dei css di IE (della proprieta' background-image(javascript:....); ) che esegue javascript