Sono in grado di iniettare payload JavaScript nell'intestazione HOST, una richiesta sarà simile a:
Host: <script>alert(document.cookie)</script>
User-Agent: Mozilla/5.0 Gecko/20100101 Firefox/29.0
Il cookie è stato avvisato senza problemi.
La mia domanda è: è sfruttabile? Oppure è un Self-XSS perché non so come inviare alla vittima un'intestazione HOST specifica?