No, perché XSS significa "Cross-Site Scripting".
Normalmente un sito può accedere solo ai cookie nella propria origine. Questa restrizione è nota come Stessa politica di origine .
Questo è example.org
normalmente non può accedere ai cookie in example.com
.
Se c'è un difetto XSS su example.com
, e il flag HttpOnly non è usato su un cookie in example.com
, allora example.org
può rubare i cookie da example.com
se un utente cade vittima dell'attacco .
Se questo attacco permettesse l'accesso a tutti i cookie del browser, l'hacker non avrebbe affatto bisogno del difetto XSS - scriverebbe solo uno script nel proprio dominio ( example.org
in questo caso) se non ci fossero restrizioni della stessa politica di origine .
Un difetto che vorrebbe consentire l'accesso a tutti i cookie non HttpOnly, sarebbe un " Universal XSS " vulnerabilità. uXSS è un difetto in un browser web o un'estensione del browser che consente di violare la stessa politica di origine.