Есть сайт X, на нём есть такая возможность как, любому пользователю заблокировать другого пользователя (тогда отключается обмен сообщениями между ними).

Включается и отключается такая блокировка через ссылку, срабатывает script, отправкой запроса серверу с нужным кодом, код формируется на сервере, а посмотреть его можно в html коде.

Нужно чтобы пользователь Y меня разблокировал не зная про это. Допустим я подсуну этому пользователю ссылку на свой сайт, по которой он точно перейдёт. Осталось подгрузить страницу с сайта X и через script перейти по этой ссылке.

В плане реализации, как лучше сделать, чтобы получилось всё чисто, попытка только одна. (Знаю какие у вас мысли по этому поводу , но в итоге я на своём сайте буду делать защиту исходя из полученного опыта )

_____________
Принимаю заказы, писать в ЛС

генерировать токен при авторизации пользователся на сайте X используя, например хеш session_id() и хранить его (перезаписывая при каждой авторизации с привязкой по user_id)

в ссылке использовать этот токен и сверять. тем самым подтверждая, что операция проходит именно под авторизованным пользователем, а не где-то на левом ресурсе.

_____________
HTML, CSS (Bootstrap), JS(JQuery, ExtJS), PHP, MySQL, MSSql, Posgres, (TSql, BI OLAP, MDX), Mongo, Git, SVN, CodeIgnater, Symfony, Yii 2, JiRA, Redmine, Bitbucket, Composer, Rabbit MQ, Amazon (SQS, S3, Transcribe), Docker

Медведь, гугли XSS.

Такой вот код - мой сайт подгружается, а подопытный выдаёт белую страницу.

<frameset>
	<frame src="http://xxx">
</frameset>

_____________
Принимаю заказы, писать в ЛС

На сколько я понимаю, то достать что либо из фрейма будет проблематично, так как по сути фрейм - другой сайт . Т.е. например если на своём сайте при помощи Javascript можно спокойно получить значение href из ссылки, то с фреймом такой номер не пройдет.

_____________
Мой первый сайтик

Посмотри на свой XBMC под другим углом

Это чисто для примера, видел готовые варианты на Flash

_____________
Принимаю заказы, писать в ЛС