Cuando es indirecto, se puede dejar ese enlace en un comentario en la web, o en algún lugar que sea visible a muchas personas, tampoco es que sea demasiado difícil hacer que la gente siga un enlace.

Como dije, dependiendo de dónde está la vulnerabilidad también es posible dejar un alert('hola') o cualquier código HTML/Javascript/CSS arbitrario que sea visible a todos los visitantes de la página; como cuando un campo de un formulario para comentar no se filtra apropiadamente.