Wen kann es denn erwischen? Nur den, der den POST gerade selbst gesendet hat, also den Angreifer selbst - oder?

Nein, es kann jeden treffen. Jeder kann eine Webseite mit einem Formular erstellen, das auf deine Kommentarseite verweist. Das Formular kann komplett mit hidden-Fields befüllt sein und der Absenden-Button könnte wie ein harmloser Link aussehen. Ein Nutzer, der diesem vermeintlichen Link folgt, landet auf deiner Seite und merkt gar nichts von der Code-Injection. Er sieht in die Adresszeile und sieht da deine angemietete URL, womöglich auch noch ein grünes Schloss, das suggeriert: Hier ist alles im grünen Bereich. Aber der Angreifer kann dem Nutzer nun alles in deinem Namen verkaufen oder im Namen des Nutzers beliebige Aktionen auf deiner Seite ausführen. Letzteres nennt sich dann Cross Site Request Forgery.