Qualcuno potrebbe rubare tutti i cookie memorizzati con un attacco XSS?

L'oggetto document.cookie recupera i cookie dal documento corrente. Il documento fa riferimento alla pagina web da cui viene avviato il javascript che richiama l'oggetto document . Quindi javascript non sarà in grado di accedere ai cookie da altri siti Web, compreso ovviamente un attacco XSS.

with "document.cookies" the browser shows cookie(s) that belong(s) to only for that website.

Questa affermazione non è completamente vera. L'oggetto document.cookie consente a javascript di accedere ai cookie dal documento corrente, ma solo quelli che non hanno il flag HTTPOnly . Questo flag viene utilizzato per impedire a javascript di accedere a tali cookie ed è un criterio applicato dal browser. Si consiglia di attivare quel flag sui cookie di sessione per proteggerli dal furto tramite XSS

Dipende dal tipo di XSS. Un vuln XSS in un sito Web può essere utilizzato solo per rubare cookie non HTTPOnly sul dominio in questione (e possibilmente sottodomini se hanno impostato il dominio sul dominio radice in uno dei loro cookie). Se tuttavia riesci a sfruttare un XSS in un'estensione chrome (o qualche altro tipo di XSS universale), potresti essere in grado di rubare i cookie per tutte le pagine, inclusi i cookie HTTPOnly.

Quando usi un browser, il sito web in cui ti trovi può accedere solo ai suoi cookie. Non può accedere ai cookie di altri siti Web.

Quindi con un XSS, sei in grado di rubare tutti i cookie memorizzati dal sito Web che è vulnerabile. Questa non è una limitazione di document.cookie ma una restrizione del tuo browser. Puoi avere una risposta più dettagliata in questo una pagina web può leggere i cookie di un'altra pagina