Se explota un CSRF a través de un XSS. En este caso nos apoyamos en un reto del CTF TJCTF pero es aplicable en muchos ámbitos. Este tipo de ataques demuestran el peligro que tienen los XSS como ya vimos en el post de WordPress 5.1 CSRF + XSS + RCE – Poc donde se conseguía incluso RCE.