со скрина ничего не понятно, какой source и sink xss? Как ты контролируешь source? Попробуй через плагин dom invader, определить source и sink. Если ты не можешь передать его пользователю, то по-сути хсс не сильно полезный, так как он полностью в браузере, так как это дом хсс. Проверь флаги безопасности на куках (HttpOnly), ты может их посредством ЖС и читать то не можешь, соответственно и украсть.
