यह देखा गया है कि आधुनिक ब्राउज़र छवियों और टेक्स्ट को HTML में रूपांतरित करते हैं ताकि उनकी प्रदर्शन क्षमता बढ़ाई जा सके (जैसे कि बैकग्राउंड सेट करना, केंद्रीकरण, आदि)। इसलिए, यदि किसी छवि या टेक्स्ट फ़ाइल, जैसे कि favicon.ico या robots.txt, को एक iframe के माध्यम से खोला जाता है, तो यह HTML के रूप में प्रदर्शित होता है। विशेष रूप से, इन पृष्ठों में अक्सर CSP हेडर नहीं होता है और X-Frame-Options शामिल नहीं होते हैं, जिससे उनसे विचारहीन जावास्क्रिप्ट का कार्यान्वयन किया जा सकता है:
उसी तरह, त्रुटि प्रतिक्रियाएँ, जैसे पाठ फ़ाइलें या छवियाँ, आम तौर पर सीएसपी हेडर के बिना आती हैं और एक्स-फ्रेम-विकल्प को छोड़ सकती हैं। त्रुटियों को आईफ्रेम के भीतर लोड करने के लिए प्रेरित किया जा सकता है, जिससे निम्नलिखित क्रियाएँ की जा सकती हैं:
// Inducing an nginx errorframe=document.createElement("iframe");frame.src="/%2e%2e%2f";document.body.appendChild(frame);// Triggering an error with a long URLframe=document.createElement("iframe");frame.src="/"+"A".repeat(20000);document.body.appendChild(frame);// Generating an error via extensive cookiesfor(var i=0;i<5;i++){document.cookie=i+"="+"a".repeat(4000)};frame=document.createElement("iframe");frame.src="/";document.body.appendChild(frame);// Removal of cookies is crucial post-executionfor(var i=0;i<5;i++){document.cookie=i+"="}
उल्लिखित किसी भी स्थिति को ट्रिगर करने के बाद, आईफ्रेम के भीतर जावास्क्रिप्ट निष्पादन संभव है जैसे: