↑
Я ж тебе сказал, поройся в гугле и почитай про пост. Если твоя XSS в посте, ссылочку ты уже не подставишь. Например, данные с полей для входа в админку идут пост параметром. Получается что-то типа того:
POST /admin.php
...
HTTP-HEADERS
...
login=alert(1)&password=pass.
Обычный переход по ссылке это GET. Что бы раскрутить твою XSS'ку в посте, нужно заманить жертву на твой сайт, а оттуда можно уже будет отправить POST запрос на уязвимый сайт.