C'est pas une faille XSS (juste traitement d'un GET de l'URL, permet pas de balises), mais c'est quand même marrant :D http://is.gd/gtIWAG