POSTメソッドの場合を想定されているのだと思いますが。
以下のような「罠」のページをインターネット上のどこかに設置したとします。action属性で指定したURLは、XSS脆弱性のあるページだとします。

<body>
<form action="http://example.jp/vulnerable.php" method="post">
<textarea name="vulinput">
&lt;script>alert(document.cookie)&lt;/script>
</textarea>
<input type="submit">
</form>
</body>

これを、脆弱性のあるサイトの利用者（被害者）が閲覧し、SUBMITボタンを押すと、script要素を含む文字列が脆弱性のあるページに送信されるので、XSS脆弱性によりJavaScriptが実行されます。上の例だと、単にクッキーがブラウザ上で表示され、それを被害者である利用者が閲覧するだけですが、JavaScriptを変更すれば、攻撃者の管理するサイトにクッキーの値を送信することができます。さらにJavaScriptを工夫することにより、個人情報そのものを取得できたり、ウェブサイトの機能を勝手に実行したりできます。

さらに、上記の例では被害者がボタンを押さなければ罠は発動しませんが、JavaScriptの仕組みを追加することで、被害者が罠を閲覧しただけで、罠が発動します。

つまり、上記のような罠を作成し、被害者を罠に誘導することにより、被害者のブラウザ上でJavaScriptを実行し、個人情報を奪ったり、勝手にウェブサイトの機能を実行させることが可能です。