Активный xss отличается от пассивного тем, что ты его не видишь. Это просто код внедрённый в страницу, он выполняется при открытии страницы.
В твоём случае, ты используешь пассивный xss. Чел кликнуть туда должен.
Если я найду xss на www.bla.com, и пошлю тебе ссылку на твою почту на мэйл.ру Если ты её кликнешь куков не будет. Потому что mail.ru и bla.com два разных хоста.
Так же 1.mail.ru, 2.mail.ru fuck.mail.ru могут быть разными хостами.