У меня есть сайт, где пользователи могут оставлять комментарии. Я хочу знать, что, если они найдут дыру в xss, смогут ли они получить данные cookie, хотя это связано только с каким-то XHTTPrequest, вызовом Ajax или чем-то еще. Возможно ли это?
HTTP-файлы cookie не могут быть получены с помощью JavaScript.Следовательно "только для HTTP" .