Data la vulnerabilità XSS appropriata, un utente malintenzionato può dirottare la sessione di qualcuno con i dati passati al e dal server.
Perché le sessioni non sono sempre esclusive dell'IP in cui sono state avviate? vale a dire, quando un sito Web / servizio deve mantenere una sessione autenticata su più indirizzi IP? Non sono sicuro del motivo per cui le sessioni lo consentono, quindi non capisco come mai questa sia una via percorribile per un aggressore.