そもそもCSSXSSってのはグレイマジックさんだったっけかな？がローカルなファイルにアクセス可能じゃん？とか言い出したのが最初（GM#004-IE）。んで穴がふさがって(MS02-023)。クロスゾーンな感じはなくなったわけ。
でマタン(Matan)さんがクロスドメインならまだいけるね？と発表してCSSXSSとか命名。(http://www.hacker.co.il/security/ie/css_import.html ってこのサーバXSSあるんじゃね？)でもCSSXSSってXSSでもなんでもないんだけど。んでもって対処されたときにリダイレクトしたらまだいけるんじゃね？とか、信頼済みサイトならそもそもいけちゃんじゃね？とかゴタゴタしたはず。ま、対処されたもよう、マタン流は。
でもって今回。ふるきをたずねてなんとやら。このへん、テストしないけど。オイラは歴史分野は超苦手（本当）
…JSON系のデータも危ないのではと思ったけれども、そもそも内緒のデータをJSON系で配布するってどうよ？とか思ったり思わなかったりラジュバンダリ。GETでは取れないようにしておきましょう的な？