no puedo enviar a la víctima este enlace con el código inyectado
Esto podría ser posible si encuentra que alguna entrada llenará el campo.
Intente las solicitudes POST y GET para la página e intente rellenar el campo usando su nombre (si tiene uno), pero también intente id
y otras variaciones. Eche un vistazo al resto de la aplicación y vea si hay algún parámetro de uso común que pueda probarse aquí. La herramienta Target de Burp Suite es excelente para esto porque le permite ver el mapa del sitio de un vistazo, junto con los parámetros enviados a cada página.
Si encuentra que necesita utilizar el método POST para completar este campo, para hacer posible la vinculación, debe crear un formulario en su propio sitio para enviarlo al sitio vulnerable:
<form method="post" action="https://example.com/submit">
<input type="hidden" name="textarea1" value="<input onclick=alert(document.cookie)>" />
</form>
Puedes enviar esto automáticamente
<script>
document.forms[0].submit();
</script>
y simplemente envías el enlace de tu página a tu víctima para que se active el XSS reflejado.