Immagina example.com
accessibile tramite HTTP e HTTPS. La maggior parte dei contenuti del sito non è sicura e non sarà male se verrà letta dall'attaccante. Uno dei percorsi - example.com/secure_zone
è accessibile solo tramite HTTPS e contiene informazioni a cui l'autore dell'attacco non può accedere. example.com/secure_zone
ha il suo cookie con percorso impostato su /secure_zone
con httponly
e secure
attributi.
Ci sono problemi di sicurezza qui? C'è differenza se il cookie non ha attributo httponly?
Nota: l'attaccante in posizione MITM può accedere completamente ai contenuti del collegamento ma non può accedere a link grazie a SOP di Javascript.