Прочтение этого сообщения в блоге о файлах cookie HttpOnly заставило меня задуматься, возможно ли HttpOnly cookie, который можно получить с помощью любой формы XSS? Джефф упоминает, что это "значительно поднимает планку", но звучит так, будто не полностью защищает от XSS.
Помимо того факта, что не все браузеры поддерживают эту функцию должным образом, как хакер может получить файлы cookie пользователя, если это HttpOnly?
Я не могу придумать, как сделать так, чтобы файл cookie HttpOnly отправлялся на другой сайт или считывался скриптом, поэтому кажется, что это безопасная функция безопасности, но меня всегда удивляло, насколько легко некоторые люди могут работать со многими слои безопасности.
В среде, в которой я работаю, мы используем исключительно IE, поэтому другие браузеры не беспокоят. Я специально ищу другие способы, которыми это может стать проблемой, которая не связана с конкретными недостатками браузера.