Supponi che www.youtube.com non abbia impostato X-Frame-Options .
Immagina di essere già registrato su YouTube. Ora da un'altra pagina web nello stesso browser sto caricando YouTube in un iframe, il browser invierà tutti i cookie di autenticazione a YouTube caricati nell'iframe in modo che venga caricato come registrato?