Digamos que uma página está apenas imprimindo o valor do cabeçalho HTTP 'referer' sem escape. Portanto, a página está vulnerável a um ataque XSS, ou seja, um invasor pode criar uma solicitação GET com um cabeçalho de referência que contenha algo como<script>alert('xss');</script>.

Mas como você pode realmente usar isso para atacar um alvo? Como o invasor pode fazer com que o alvo emita essa solicitação específica com esse cabeçalho específico?