Вот определение:
XSS (англ. Cross-Site Scripting — «межсайтовый скриптинг») — тип атаки на веб-системы, заключающийся во внедрении в выдаваемую веб-системой страницу вредоносного кода (который будет выполнен на компьютере пользователя при открытии им этой страницы) и взаимодействии этого кода с веб-сервером злоумышленника. Является разновидностью атаки «Внедрение кода».
Вот ваша формулировка:
если данные формы нигде не выводятся на сайте
Кажется очевидным, что она определению противоречит.
Однако, на проекте может быть, например, обработчик ошибок, который может выводить данные из POST, не обрабатывая их. Но это уже противоречит вашей формулировке.
Есть ещё вариант XSS в почтовом клиенте, но их не дураки делают и такие детские шалости там обрабатываются.
Нет, если введённые данные нигде на странице не выводятся, то XSS через них не осуществить.
