Тут все дело в реферере.
XSS можно выполнить:
1) На домене, с которого происходит
переход по ссылке.
http://tinyurl.com/antichat-test2 - выполняется на
rdot.org.
Под "переходом по ссылке" подразумевается: клик по ссылке; открытие окна с нужной ссылкой; открытие ссылки во фрейме; перенаправление с помощью
JS-кода, заголовка
Refresh, тега
meta. То есть,
реферером должен быть атакуемый домен (при этом нет необходимости в передаче заголовка
Referer)
2) На домене, с которого происходит
редирект на data:.
http://tinyurl.com/antichat-test1 - выполняется на
tinyurl.com.
"редирект на data:" - перенаправление через заголовок
Location непосредственно на ссылку, содержащую страницу в дата-схеме.
Редирект через
Location, не является реферером для того сайта, куда перенаправляет, он как бы "прозрачный" - какой реферер получил, тот передал. Поэтому для таких редиректов возможен только вектор атаки из пункта 2.
Конкретно "
vk.com/away.php?to=" запрещает перенаправление на
data, поэтому 2 пункт тоже не подходит.
Атаку можно совместить с
clickjacking'ом, если атакуемый сайт открывается во фрейме.
На
vk.com можно использовать возможности создания
iframe-приложений.