Привет. Ты xss с CSRF не путай. Смотри что происходит. iframe не смотря на то, что делает запрос к серверу, возвращает в итоге все равно верстку. Это так работает. Когда ты разместил у себя и какой нить чувак прошёл от него летит запрос к серверу, но клиентская сторона выполняется у тебя поэтому и берет твои куки. то есть когда в хсску пишешь document.location.href= 'Уязвимый сайт' + document.cookie - у тебя куки уже подставляются. Как вариант заверни в eval и передавай строку. А вообще покажи что ты пишешь в XSS? А ещё в идеале таргет в лс и напишу рабочий вариант.