суть в том, что нужно не просто ссылку заслать, а выполнить javascript в контексте уязвимого сайта и послать куки на свой скрипт. просто зайти поссылке - результата не даст.