XSS она везде XSS.
Через JS можно сделать редирект. И вместо твоего белого и пушистого сайта юзер улетит на порник. Если тем более линк на XSS в комментариях разместить ("типа пали, че тут админ пишет" итп). Юзерам до фени, что в ссылке. Главное, что домен такой же - значит можно заходить.
Если есть XSS - она, как ни крути, является дыркой.