Я ж тебе сказал, поройся в гугле и почитай про пост. Если твоя XSS в посте, ссылочку ты уже не подставишь. Например, данные с полей для входа в админку идут пост параметром. Получается что-то типа того:

POST /admin.php

...

HTTP-HEADERS

...

login=alert(1)&password=pass.

Обычный переход по ссылке это GET. Что бы раскрутить твою XSS'ку в посте, нужно заманить жертву на твой сайт, а оттуда можно уже будет отправить POST запрос на уязвимый сайт.