Если XSS работает только при указании правильного токена, вам нужно получить токен. Но получить его без выполнения JS на стороне жертвы не удастся. Взаимоисключение получается.

А спарсить токен со своего домена не получится, ибо кросс-доменная политика запросов не даст.