<script>alert(jk)</script> <iframe src=http://www.baidu.com width=500 height=500></iframe>
这里的地址一旦变成了恶意的地址,一个http://www.aaa.com/a.txt也能让你中招.