Если защиты от xss нет, и к сайту подключен jQuery, то такой код, введенный в форму:
$('a').attr('href','http://site.com');
приводит к тому, что все ссылки на уязвимой странице (т.е. на той странице, где выполняется скрипт) ведут на страницу http://site.com
Использование jQuery упрощает атаку, но в конечном счете, не обязательно.