あるFacebookのサイト、っていうのがまず意味不明だが、facebook自身のサイトなのか、それともFacebook内のアプリページなのか。 アプリページは中身は完全に別サイトなのでセキュリティもFacebookではなく別サイト側が対応すべきもので、そちらがダメセキュリティならいろいろ問題が出る可能性はある。(だから不用意にFacebook内のアプリは使わないこと！) その場合でもFacebookのPASSを抜かれることはないが、アプリに委譲している権限をコントロールされる可能性が高い=自分の個人情報等を盗まれる可能性あり。 基本的にXSSは、リンクの中などにスクリプトを書いておき、それをクリックして飛んだリンク先の脆弱性によりスクリプトを実行させたり、掲示板の書き込みなどにスクリプトを書き込み、それを表示する時にセキュリティが不十分な場合に実行されてしまう脆弱性。 本当にXXSなのか、どんなスクリプトだったのかは、問題が起きたサイトを提示しないとなんとも答えにくい。 ログインページで起きたならID&PASSを抜かれた可能性もあるが、ただの動画再生ページとかなら可能性は低い。ポップアップ表示しようとしただけとかね。 セッションを盗まれた可能性はあるので、その際はログアウトしてセッションを終了させることで、盗んだ方のセッションも無効になるはず。サイト開発側がちゃんと作ってればね。 ログアウトして、再度ログインしてパスワード変えるくらいかな、できるのは。 サイトがどこまで脆弱でどこまでスクリプト埋め込まれてるのかわからないので微妙だけど。Youtubeとか有名どころは大丈夫だと思う。 ちなみに、悪いのはXXS脆弱性を残してるアホウェブ開発者です。

XXSは閲覧したプラウザのクッキー内容を読み込み、データを追加する 方法で、他のサイトにジャンプさせる物と考えています。 一番簡単な方法は『セーフモード』（クッキー、履歴を保存しない）での閲覧です。

そのサイトからすぐに抜けたんなら、問題ないと思いますけど。 XSSの怖い部分は、偽装サイトに誘導して、何か情報を入れさせたり、不正なプログラムをインストールさせたりとかだと認識していますが。古いバージョンのブラウザを使用していた場合は、何か問題が起きる可能性はありますが・・。