Ma c’è di più: non necessariamente la pagina hackerata deve far parte del programma/sito attaccato: è sufficiente che l’utente, autenticato sul sito attaccato, visiti una pagina malevola sul sito controllato dall’hacker, la quale pagina rediriga al sito attaccato con query string (o POST vars) ad hoc.

La propagazione della sessione sul sito attaccato avviene infatti ugualmente, dacché il browser invia, come sempre, il cookie contenente il SID al server: è il browser usato che gestisce i cookies.