Вы можете узнать, какие куки-файлы хранит домен, используя простой метод, просто вставьте следующий код в адресную строку на интересующем вас сайте. Но это правда, что целый ряд других метаданных хранится с необработанными значениями файлов cookie, браузер, очевидно, должен быть осторожным, чтобы только один домен мог получить доступ к своим собственным файлам cookie и должен отслеживать, когда они должны истечь и т.д.
javascript:document.write(document.cookie);
И вы правы, браузеры очень стараются, чтобы куки были доступны только для доменов, которые их устанавливают. В прошлом было много хитрых эксплойтов с использованием JavaScript и iframes, и уязвимости XSS остаются огромной проблемой до сих пор.