简要描述：

淘宝站内信xss，再研究下去可能获取cookie
希望各xss大牛研究下利用方式，这下子如果利用出去了 损失你懂的

详细说明：

<iframe src=*********>直接插，script好像不行，embed也直接上了
就算不能获取cookie欺骗点击，给非法网络营销做贡献咯~

漏洞证明：

修复方案：

不说了 站内信居然有这样的问题。