あー、なるほど。既にユーザーがログインしているサイトのXSS脆弱性を利用して任意のJavaScriptが実行できたら、それを利用したリンク先へのメールを被害者に送って、被害者がそれを開いたら認証情報をどこかに送信するようにしておけば、攻撃者は認証されたかのようにできるのか