Hoy entre a una de las miles cosas qe hay en facebook para que entren pensando q podran ver el boton de No me gusta, ver quienes han entrado a tu perfil , etc, y este me decia que copie un codigo y lo pegue en la barra del navegador y le de Enter.

Yo obvio q no le di enter, pero mire el codigo y lo q pude ver es q lo q hace es llamar a un codigo en Java Script q esta colgado en web.com/botonfacebook.js
Lei ese codigo y aunque no sepa Java Script algo entendi, y no hacia nada malo solo mandaria un mensaje a todos mis amigos al azar, pero mi pregunta es esta:
Porque pedia que copie el codigo en el navegador? no se puede hacer un link con el contenido del codigo de la llamada al codigo java script?
O estos codigos solo funcionan si los introducis manualmente?

Ademas lo del Face es mas que todo un Spamm que esta echo, el funcionamiento de JAVA script es el siguiente EN SI  lo que hace es permitir la creacion de acciones, las cuales no necesitan una compilacion e de compilación ya que funciona del lado del cliente, en si el navegador es el encargado de interpretar.

no solo se puede activar la funcion si tu das click (propiedad onclik) sobre el enlace o bien pegas el enlace en la barra de direcciones.
Lei ese codigo y aunque no sepa Java Script algo entendi, y no hacia nada malo solo mandaria un mensaje a todos mis amigos al azar
tu mismo lo has dicho al momento que introduces la liga en el navegador se ejecuta la funcion y se propaga el msj

lo hacen porque es mas facil usar ing social que encontrar un xss... lo que hace el script es aprovechar la variable "feed_info" de la aplicacion de facebook "opiniones" para crear un hypervinculo a alguno de los dominios que usan y lo publica en el muro de tus "friends" en facebook para propagarse como un "xss worm"...

claro, pero como dije, es mas facil usar ing social que encontrar un xss...

saludos